Ярослав Мироненко, 24/09/19
Во второй части статьи, посвященной безопасности автоматизированных систем (АС) в энергетике, речь пойдет о наиболее дискуссионном вопросе — обеспечении информационной защиты.
в предыдущей части статьи, огромный объем нормативной документации содержит очень небольшое количество полезной практической информации. Поэтому вопрос обеспечения информационной безопасности автоматизированных систем на энергообъектах в российских реалиях часто сводится к банальной изоляции рассматриваемой АС. Соответствующие службы предприятия работают по принципу "нет связи с внешним миром — нет проблем". Как показывает практика, с течением времени данное техническое решение все больше утрачивает свою эффективность.
Во-первых, затруднительно обосновывать корпоративные требования, направленные на изоляцию технической системы, в условиях пропаганды Интернета вещей и национального проекта "Цифровая экономика".
Во-вторых, изолировать автоматизированную систему на энергообъекте достаточно сложно по той простой причине, что она изначально, как правило, создается в целях передачи или получения данных от внешних систем. Система телеуправления получает команды от географически удаленного диспетчерского центра, система телеизмерений и телесигнализации, наоборот, передает туда данные. Конечно, есть внутриобъектовые локальные автоматизированные системы управления технологическим процессом (АСУ ТП), которые чаще можно встретить на генерирующих объектах, но и они в большинстве случаев интегрированы в более масштабные MES-системы (системы управления предприятием и технологическим процессом).
В-третьих, для ряда АС на уровне законодательства и целевого предназначения предусмотрен полный доступ со стороны третьих лиц. Например, для автоматизированной информационно-измерительной системы коммерческого учета электроэнергии (АИИС КУЭ) предприятий, покупающих и продающих электрическую энергию и мощность на оптовом рынке электроэнергии и мощности России (ОРЭМ). Регламентами ОРЭМ предусмотрено требование предоставления дистанционного доступа ко всем компонентам АС. Причем этот доступ на время соответствующих испытаний должен быть предоставлен сотруднику другой организации (коммерческого оператора ОРЭМ) на его рабочем месте по адресу: г. Москва, Краснопресненская набережная, д. 12, подъезд 7. То есть удаленный доступ до всех компонентов АС должен быть реализован через сеть Интернет и автоматизированное рабочее место (АРМ) третьих лиц. Аналогичные требования есть, например, для СОТИ АССО — системы обмена технологической информацией с автоматизированной системой системного оператора Единой энергетической системы (СО ЕЭС). Есть требования по передаче технологических данных в СО ЕЭС по прямому некоммутируемому каналу связи с определенных энергообъектов.
А если учесть, что сложности с получением доступа на электроэнергетический объект все чаще приводят к тому, что большинство вопросов эксплуатации и технического обслуживания решаются подрядным организациями удаленно, то становится понятно, что идея полной изоляции АС в принципе нежизнеспособна.
Для адекватного построения связи автоматизированной системы с внешними сетями передачи данных необходимо создать смарт-изоляцию, которая, с одной стороны, на физическом и программном уровне ограничит несанкционированный доступ к компонентам сети, а с другой стороны — будет работать, не мешая эксплуатирующим и обслуживающим организациям делать свою работу.
Экранирование передающего кабеля
Одним из древнейших технических решений по защите от несанкционированного доступа является простейшее экранирование кабеля. Локальная вычислительная сеть, работающая по технологии Ethernet, использует физический стандарт 10BASE-T, в котором кабель типа витая пара в обычных условиях фактически представляет собой передающую антенну. На географически распределенных энергообъектах этот кабель может проходить недалеко от незащищенной периметром охраны территории. Потенциальным злоумышленникам необходимо только установить принимающую антенну с соответствующим оборудованием для обработки сигналом, чтобы незаметно получить доступ ко всему трафику, проходящему по конкретному участку провода. Еще в 1997 г. данная проблема была подробна описана Дейвом Мартином1, предложившим простое и оригинальное решение — экранирование передающего кабеля. При этом автор рассматривал и основное альтернативное решение того времени — шифрование трафика внутри сети, но посчитал его чересчур дорогостоящим (за счет поглощения дополнительных вычисляющих мощностей) и организационно неправильным (многие пользователи могут из-за срочности отправки данных пренебрегать шифрованием). С тех пор прошло более 20 лет, и информационный мир сильно изменился. Сейчас вряд ли мы задумываемся о выделении дополнительных вычислительных мощностей, а главным альтернативным решением описанной проблемы является повсеместное использование волоконно-оптических линий связи. Тем не менее имеет смысл при выборе кабеля для ЛВС просчитать различия между FTP и UTP и выбрать экранированный (FTP), тем более что помимо информационной безопасности есть еще электромагнитная совместимость, вопросы которой очень актуальны для крупных электроэнергетических объектов (п. 3 в квалификации рисков из первой части статьи).
Пломбирование шкафов с оборудованием
Следующим простейшим техническим решением, направленным на обеспечение информационной безопасности, является пломбирование шкафов с оборудованием АС. Данная мера закреплена в ряде государственных стандартов, активно используется в системах коммерческого учета энергоресурсов, телемеханики. Но по сути своей она полезна только в качестве инструмента третьих лиц для надзора над эксплуататором АС, то есть является мерой контроля, а не обеспечения безопасности. Другое дело более продвинутая версия пломбирования — сигнализация открытия двери шкафа или снятия крышки. При мгновенной передаче информации о данном событии в диспетчерский центр уровень защищенности АС существенно возрастает, а возможности злоумышленников незаметно подключиться к сети, соответственно, снижаются.
Типовые решения по безопасности сети
Теперь рассмотрим наиболее крупный кластер вопросов информационной безопасности, связанный с телекоммуникационной инфраструктурой — сетью передачи данных АС. Здесь есть несколько непреложных правил, закрепленных практически во всех стандартах и логически вытекающих одно из другого. Рассмотрим их на примере стандарта СТО 56947007-29.240.10.167—2014 "Информационно-технологическая инфраструктура подстанций. Типовые технические решения" ПАО "ФСК ЕЭС".
Сегментация ЛВС АС
Необходимо сегментировать ЛВС АС с учетом технических требований к организации взаимодействия подсистем в составе телекоммуникационной инфраструктуры АС.
В первую очередь сегментирование необходимо для возможности изолирования части сети, а именно проблем, возникших в рассматриваемом сегменте. Аналогичным образом решается вопрос доступа в различные подсистемы, в зависимости от уровня допуска пользователя. Так, для систем коммерческого учета энергоресурсов, как правило, отдельно выделяется сегмент сети передачи данных на АРМ энергетиков. Он является наиболее подверженным различным угрозам из-за человеческого фактора, но в то же время можно легко ограничить трафик в этот сегмент благодаря однотипности передаваемых по сети данных (запросы к системе управления базами данных и соответствующие им данные по конкретному разрешенному администратором АС перечню).
Для того чтобы такой механизм работал, требуется отделить сегменты сети друг от друга и от внешнего информационного пространства на физическом уровне.
Межсетевое экранирование ЛВС
Необходимо обеспечить межсетевое экранирование ЛВС с целью разделения подсетей или технологических информационных систем и ограничения передачи данных информационных систем.
Межсетевой экран позволит существенно повысить информационную безопасность АС за счет контроля всего входящего и исходящего трафика в конкретной точке сети. Действующий по набору строгих правил межсетевой экран не только обеспечит требования п. 1, указанного выше, но и фактически станет ключевым звеном умной изоляции АС. Как правило, межсетевые экраны устанавливаются на входе/выходе сети из географических границ объекта (например, подстанции), на границах сегментов, а также в точках подключения сети АС к внешним сетям. Межсетевой экран необходим при подключении АС непосредственно к сети Интернет. Исходя из опыта можно сказать, что даже принудительное закрытие портов коммутационных устройств вкупе с установкой антивирусного ПО не является достаточной гарантией защиты от вредоносных атак.
Как следует из названия, межсетевой экран доступен для установки в ключевых узловых точках между сегментами ЛВС АС и другими сетями. Для контроля безопасности внутри выделенного фрагмента используется другое техническое решение.
Управляемые коммутаторы
Все сетевые коммутаторы, входящие в состав информационно-технологической инфраструктуры, должны быть управляемые, использование неуправляемых коммутаторов (хабов) не допускается.
Главная проблема хабов заключается в их неизбирательности: они транслируют информацию на все устройства, подключенные к ним, что создает гигантскую дыру в безопасности сети. В целях защиты необходимо осуществлять контроль и администрирование доступа к сети, что возможно только при использовании управляемых коммутаторов. Как правило, помимо общей настройки списка авторизованных устройств по MAC-адресу используется сигнализация о значимых событиях в рассматриваемых сегментах сети, например ошибках аутентификации, отключении и включении линии, новых MAC-адресах в сети, сбоях в работе самого коммутатора. Правильный анализ полученных сообщений сделает невозможным несанкционированное подключение к сети.
В сетях передачи данных АС непосредственно на энергетических объектах вместо коммутаторов могут использоваться преобразователи интерфейсов, функционал которых несколько отличается. Отказаться от использования данных устройств технологически невозможно, а опасность подключения к сети контроллеров RS-485 минимальна при отсутствии информации о связных номерах устройств в линии. Однако в сетях на информационно-вычислительных уровнях АС, которые зачастую находятся в электроустановках третьих лиц, использование хабов может стать фатальным для функционирования системы.
Требования к антивирусному программному обеспечению
После того как создана топология сети передачи данных АС, необходимо обеспечить программную защиту, основной контур которой составляют антивирусные программы. Все теми же СТО 56947007-29.240.10.167-2014 прописаны задачи ПО, предназначенного для обеспечения безопасности данных от инфицирования вредоносными программами:
- проверка информации в режиме реального времени (постоянная проверка);
- проверка по требованию — пользователь лично указывает файлы, каталоги или области диска для проверки и время проверки;
- проверка всех внешних носителей информации, таких как дискеты, компакт-диски, flash-накопители каждый раз перед чтением информации с них, а также весь жесткий диск не реже одного раза в неделю.
Этим же стандартом определен минимальный функциональный состав антивирусного программного обеспечения:
- сигнатурный анализ (однозначная идентификация наличия вируса в файле);
- эвристический анализ (поиск вирусов, похожих на известные, возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры; поиск вирусов, выполняющих подозрительные действия, выделение основных вредоносных действий (удаление файла, запись в файл т.д.);
- модуль обновления, обеспечивающий возможность обновления антивирусных баз, сигнатур и версий антивирусного программного обеспечения без прямого доступа к сети Интернет (для эффективной работы антивирусной защиты необходимо обеспечить регулярное обновление антивирусных баз);
- модуль планирования (позволяет настроить время для проверки всего компьютера на наличие вирусов и обновлять антивирусную базу);
- модуль управления настройками антивируса;
- карантин (позволяет защитить информацию и оборудование от возможной потери данных в результате действий антивируса).
В целом не приходится говорить о том, что указанный функционал антивирусов отличается от стандартного, но при настройке ПО необходимо учитывать некоторые особенности технологических систем, в первую очередь доступа специализированного программного обеспечения, которое обязательно используется на верхнем уровне любой АС.
Инструменты безопасности операционных систем
При рассмотрении требований к программным средствам информационной защиты часто можно встретить следующее проектное решение: защита операционных систем сервера АС обеспечивается средствами установленных операционных систем. Не всякий пользователь сможет перечислить данные средства, а большинство считает их несостоятельными. Тем не менее в составе программного пакета ОС есть достаточно большое число инструментов, обеспечивающих безопасность. Так, в составе Windows Server 2019 можно выделить следующие технологические модули подсистемы информационной безопасности:
- Just Enough Administration (JEA) — технология обеспечения безопасности, которая делает возможным делегированное администрирование любого объекта, которым можно управлять с помощью Windows PowerShell (стандартного средства ОС для создания и выполнения скриптовых команд автоматизации процессов). Новые возможности обеспечивают поддержку работы под сетевой личностью пользователя, соединение по PowerShell Direct, безопасное копирование файлов на/с конечных точек JEA, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию;
- Credential Guard — технология изолирования конфиденциальной информации, используемой для доступа привилегированного системного ПО;
- Remote Credential Guard — технологическая поддержка протокола удаленного рабочего стола (RDP) без передачи учетных данных клиента-пользователя серверной стороне;
- Device Guard — служба контроля целостности кода устанавливаемого программного обеспечения с помощью редактирования политики, основанной на списке доверенных сертификатов разрешенного к использованию программного обеспечения.
Помимо этого среди инструментов безопасности операционной системы есть стандартный брандмауэр Windows Defender и Control Flow Integrity (технология контроля целостности потока исполнения приложения), используемые для борьбы с эксплойтами и прочим вредоносным ПО.
Вопрос самодостаточности данных инструментов для обеспечения полного контура безопасности не стоит, но пренебрегать средствами безопасности в составе ОС не следует и лучше регулярно проводить их обновление. Даже самая хорошая проактивная система защиты, работающая на технологии "песочницы", может оказаться бессильна в условиях неполноценности основной рабочей среды.
Важность процесса аутентификации
Игнорирование стандартных средств безопасности ОС распространено повсеместно, но, наверное, самым недооцененным инструментом информационной безопасности является процедура аутентификации пользователей и устройств в сети. На практике более 90% устройств сохраняют заводской код доступа, а связной номер в сети в 99% случаев соответствует последним двум цифрам заводского номера. Отследить действия пользователя admin, пароль которого знает обычно даже уборщица, в принципе невозможно. Полный удаленный доступ посредством RDP предоставляется любой запросившей организации. В таких условиях бесполезно проводить дорогостоящие мероприятия, описанные выше, но в большинстве случаев именно так организована процедура на объектах. Наладить нормальный процесс аутентификации несложно, сложнее поддерживать его в рабочем состоянии, но при должном внимании ответственных лиц и эта задача не представляется чрезмерно сложной.
Классификация защищенности АС
Намного сложнее организация криптографической защиты данных в АС. Вопрос целесообразности шифрования данных внутри сети автоматизированной системы остается открытым на протяжении последних лет. Так, в тех же системах коммерческого учета электроэнергии данные о потреблении передаются коммерческому оператору ОРЭМ в зашифрованном виде, но внутри самой сети шифрование используется единицами предприятий. Этот дорогостоящий инструмент безопасности пока не получил распространения, однако с развитием технологий и расширением перечня угроз вполне возможно его внедрение на всех уровнях АС.
Интересно, что еще в 1992 г. вышел руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации". В данном стандарте предусмотрена классификация требований по защите информации от несанкционированного доступа в АС по девяти классам с кратким их описанием. Глобально рассматриваются четыре параметра:
- наличие подсистемы управления доступом;
- наличие подсистемы регистрации и учета;
- наличие криптографической подсистемы;
- наличие подсистемы обеспечения целостности.
Этот документ до сих пор активно используется рядом предприятий для оценки информационной защищенности АС, хотя стоит отметить, что формальное описание параметров не позволяет однозначно идентифицировать классы, а отсутствие конкретных требований к ним в других стандартах делает работу по классификации фактически бесполезной.
Тем не менее значительное количество современных стандартов (и данная статья) во многом построены на указанной параметризации системы безопасности. Неосвещенной осталась только подсистема обеспечения целостности, которая все-таки относится к предупреждению следующей большой группы рисков — уничтожения/повреждения АС внешними объектами и факторами — и требует отдельного рассмотрения.
——
1 В России в журнале "Сети/Network world" № 09, 1997 г., статья "Обеспечение безопасности данных на физическом уровне".
