Особенности кибербезопасности АСУ ТП на железнодорожном транспорте
Борис Безродный, 02/03/21
В обязанности Центра кибербезопасности "НИИАС" входит проверка киберзащищенности всех систем управления движением поездов, включая системы железнодорожной автоматики и телемеханики, энергоснабжения и бортовые системы, установленные на локомотивах и самоходном подвижном составе. Центр создан по распоряжению В.И. Якунина в 2013 г. в АО "НИИАС" одновременно с экспертным советом по кибербезопасности ОАО "РЖД" и наделен полномочиями головной организации в ОАО "РЖД" по вопросам кибербезопасности.
Системы обеспечения безопасности движения поездов, к которым традиционно относятся системы интервального регулирования и автоблокировки на перегонах, централизации стрелок и сигналов на станциях, диспетчерской централизации и диспетчерского контроля, горочной автоматизации и т.д., а также устройства локомотивной безопасности, с выходом приказа ФСТЭК № 31 от 14.03.2014 г. стали называть на железной дороге автоматизированными системами управления технологическими процессами (АСУТП) на железнодорожном транспорте.
Многообразие факторов обеспечения безопасности
На безопасность движения поездов влияет совокупность очень многих факторов, далеко не все из которых связаны с информацией и информационной безопасностью:
- cостояние объектов инфраструктуры (путь, энергоснабжение, сети связи, железнодорожная автоматика и телемеханика);
- cоблюдение участниками движения ПТЭ и инструкций;
- качество (функциональная безопасность) технологических процессов организации движения;
- надежность и качество аппаратуры;
- качество схемных решений;
- техническое содержание;
- различные дестабилизирующие воздействия, например силовые воздействия (гроза);
- вандализм;
- возраст устройств.
Это ведет к тому, что при рассмотрении различного рода угроз, в том числе в области кибербезопасности, надо понимать, нарушение какого рода мы получим. При этом термина "кибербезопасность" в нормативной базе нет (понятие "киберзащищенность" присутствует только в трех ГОСТах, касающихся сетей связи), в ней говорится об информационной безопасности, и в этом заключается фундаментальная проблема, которая потребовала от нас разработки нормативной базы для РЖД.
Что такое опасный отказ?
Все системы обеспечения безопасности движения поездов, допущенные на эксплуатацию на инфраструктуре железных дорог, имеют документ "Доказательство безопасности", в котором приводится оценка вероятности возникновения потенциально ведущих к различного рода разрушениям опасных отказов.
Опасные отказы перечислены в Правилах технической эксплуатации (ПТЭ). К ним относятся: перевод стрелки под составом; ложная свободность участка; установление маршрута на занятый путь на станции и т.д.
Все они могут привести к столкновению поездов, ущерб от которого будет нанесен транспортной безопасности, экологической безопасности и безопасности здоровья и жизни пассажиров, а также сохранности грузов.
Угрозы безопасности в системах управления движением поездов
Вся информация, которую предполагается и требуется защищать в системах инфраструктуры и бортовых системах, имеет целый ряд особенностей (рис. 1). Однако с точки зрения четырех ключевых свойств информации (конфиденциальности, доступности, целостности и достоверности) для этих систем актуально лишь последнее. Она не конфиденциальна, и ее доступность сама по себе ничем не угрожает. При этом, если нарушается ее целостность и она не читается, правильно построенная по правилам функциональной безопасности система уходит в защитный отказ, то есть происходит отказ технических средств (отказ в обслуживании) как событие нарушения надежности.
Рис. 1. Угрозы безопасности в системах управления движением поездов
Важно отметить, что если рассматриваемая система прошла сертификацию по доказательству безопасности и получила соответствующий сертификат в железнодорожном регистре, то она физически не может попасть в опасный отказ.
Может случиться только отказ в обслуживании, то есть отказ с точки зрения надежности. Другими словами, какое бы нарушение алгоритмов работы или искажение данных ни произошло, система их проанализирует, и только если ситуация нештатная, она уйдет в защитный отказ.
При таком подходе единственное свойство информации, которое нам интересно и важно, – это ее достоверность, чтобы злоумышленник не смог подменить одно сообщение на другое, с более разрешающими показаниями (большая скорость, большее количество свободных блок-участков впереди, зеленый сигнал светофора вместо красного и т.п.).
Именно в этом заключается очень характерная особенность систем обеспечения безопасности движения поездов, в первую очередь железнодорожной автоматики и телемеханики. Другими словами, здесь безопасность и надежность приходят в противоречие. Далее на наглядном примере рассмотрим, в чем оно заключается.
Информационная безопасность в разрезе АСУ ТП на железнодорожном транспорте
Представьте, что по рельсам едет локомотив. на каждой сигнальной точке ему с генератора тонально-рельсовой цепи посылается информация о количестве свободных впереди него участков и рекомендуемой скорости. Локомотив эту информацию принимает, расшифровывает и, соответственно, знает, как ехать. При этом локомотив в пределах одной сигнальной точки получает несколько пакетов одинаковых сообщений, например восемь. Допустим, в условиях плохой помеховой обстановки половина из них искажаются и не читаются, а среди остальных одно с ошибкой, а три правильные.
Локомотив ориентируется на три против одного и едет дальше. несмотря на то что информация локомотиву передается ответственная, срок ее жизни – время проследования одной сигнальной точки.
А теперь представьте, что эта информация зашифрована средствами криптографии. В этом случае длина посылки увеличивается, например, в два раза, и вместо восьми сообщений локомотив принимает четыре, из которых половина, то есть два, искажены помехами, а среди оставшихся двух одно с ошибкой и одно правильное. В этой ситуации локомотив уже не знает, какому из них верить. Если то же самое повторяется на следующей сигнальной точке, осуществляется экстренное торможение. Я специально привел такой утрированный пример, чтобы показать, что самостоятельно хорошая мера по защите информации может (при комплексном рассмотрении ситуации) просто навредить. Именно таким образом порой неоправданное применение средств криптографии приводит к снижению надежности и не повышает интегральную безопасность. Оно лишь улучшает информационную безопасность и защиту информации, срок жизни и актуальность которой – секунды.
Поэтому необходимо рассматривать информационную безопасность АСУ ТП не отдельно, а в совокупности с анализом рисков, возможных последствий и комплексно со всеми остальными аспектами безопасности того критически важного объекта, которым она управляет.
"Компьютерное зрение для аналитики дорожного движения: 3 успешных кейса" читать >>>
Отличие кибератаки от информационной атаки
Департаментом безопасности РЖД принято следующее определение кибератаки: это компьютерная атака, направленная на нарушение функциональной безопасности (с целью достижения нарушения функциональной безопасности и достижения крушения или другой аварии с последствиями). На рис. 2 представлено различие кибератаки в нашем понимании и информационной атаки.
Рис. 2. Отличие кибератаки от информационной атаки
Целью информационной атаки является изъятие (или изменение) информации, а целью кибератаки – наоборот, нарушение функциональной безопасности объекта. Другими словами, в информационной и кибератаке причина и следствие, средство и цель меняются местами. Это два разных и самостоятельных понятия. Они во многом зависимые, параллельно существующие, но не рассматривать термин "кибератака", на наш взгляд, абсолютно не оправданно.
Для преодоления этого момента Центром кибербезопасности для РЖД был разработан ряд методических документов:
- Термины и определения в области кибербезопасности микропроцессорных систем управления движением поездов, локомотивами и электроснабжением.
- Регламент проведения аудита состояния кибербезопасности микропроцессорных систем управления движением поездов, локомотивами и электроснабжением.
- Требования по кибербезопасности микропроцессорных систем управления локомотивами.
- Правила анализа уязвимостей и угроз кибербезопасности микропроцессорных систем управления движением поездов, локомотивами и электроснабжением и разработки базовых угроз на основании результатов анализа.
- Требования по кибербезопасности микропроцессорных систем управления движением поездов.
- Правила классификации по требованиям кибербезопасности систем управления движением поездов, локомотивами и электроснабжением.
- Требования по кибербезопасности микропроцессорных систем управления электроснабжением.
- Регламент подтверждения соответствия требованиям по кибербезопасности микропроцессорных систем управления движением поездов, локомотивами и электроснабжением.
При проверках киберзащищенности в РЖД также применяется следующая нормативная база по кибербезопасности (включая федеральные ГОСТы, в которых используется термин "киберзащищенность"):
- СТО РЖД 02.049–2014 "автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения. Порядок оценки соответствия".
- ГОСТ Р 54505–2011 "безопасность функциональная. Политика, Программа обеспечения безопасности. Доказательство безопасности объектов железнодорожного транспорта".
- ГОСТ Р 54505–2011 "безопасность функциональная. Управление рисками на железнодорожном транспорте".
- ГОСТ Р 56205–2014, ГОСТ Р 5498–2015, ГОСТ Р МЭК 62443-2-1–2015 (части 1, 2, 3). l Приказ ФСТЭК России от 14.03.2014 г. № 31.
В регуляторном поле приоритетными видятся следующие задачи:
- Необходимо ввести термин "киберзащищенность" или "кибербезопасность" в федеральную нормативную базу.
- Рассматривать кибербезопасность и информационную безопасность на равных, четко понимая, что есть КВО, а есть КИИ, есть критическая информационная инфраструктура, а есть критически важные объекты.
В результате это поможет рассматривать различные системы объекта в комплексе и с учетом соответствующей отраслевой специфики.
Проверка киберзащищенности систем
Описанные нормативные документы позволяют учитывать все особенности систем обеспечения безопасности движения поездов, АСУ ТП нижнего уровня, управления инфраструктурой и бортовыми системами локомотива с целью не допустить опасного отказа и перерывов в движении поездов по причине кибератаки.
Главная угроза и самое критичное последствие, которое может произойти, – если на каком-то участке или станции движение поездов парализовано за счет того, что система централизации или автоблокировки либо локомотивная система выведена из строя и ушла в защитный отказ.
Однако, как было сказано выше, каждая система, отвечающая за безопасность движения поездов, имеет документ доказательства безопасности и проходит сертификацию на функциональную безопасность. Если она сделана качественно, то не может допустить опасного отказа. Но ее можно вывести в защитный отказ за счет кибератаки, и именно на эти моменты мы обращаем основное внимание при проверке киберзащищенности микропроцессорных систем управления. Нами исследовано более 30 локомотивных, станционных и перегонных систем. Этот процесс идет непрерывно: как только меняется элементная база или программное обеспечение, проверка проводится повторно. Разработчики и поставщики локомотивных и напольных систем, работающих на инфраструктуре железных дорог, активно участвуют в этих проверках, так как, во-первых, этого требует нормативная база РЖД (без проверок системы не допускаются для эксплуатации на железнодорожном транспорте), а во-вторых это позволяет выявить конструктивные недоработки и неочевидные уязвимости, которые успешно устраняются.