В обязанности Центра кибербезопасности "НИИАС" входит проверка киберзащищенности всех систем управления движением поездов, включая системы железнодорожной автоматики и телемеханики, энергоснабжения и бортовые системы, установленные на локомотивах и самоходном подвижном составе. Центр создан по распоряжению В.И. Якунина в 2013 г. в АО "НИИАС" одновременно с экспертным советом по кибербезопасности ОАО "РЖД" и наделен полномочиями головной организации в ОАО "РЖД" по вопросам кибербезопасности.
Системы обеспечения безопасности движения поездов, к которым традиционно относятся системы интервального регулирования и автоблокировки на перегонах, централизации стрелок и сигналов на станциях, диспетчерской централизации и диспетчерского контроля, горочной автоматизации и т.д., а также устройства локомотивной безопасности, с выходом приказа ФСТЭК № 31 от 14.03.2014 г. стали называть на железной дороге автоматизированными системами управления технологическими процессами (АСУТП) на железнодорожном транспорте.
На безопасность движения поездов влияет совокупность очень многих факторов, далеко не все из которых связаны с информацией и информационной безопасностью:
Это ведет к тому, что при рассмотрении различного рода угроз, в том числе в области кибербезопасности, надо понимать, нарушение какого рода мы получим. При этом термина "кибербезопасность" в нормативной базе нет (понятие "киберзащищенность" присутствует только в трех ГОСТах, касающихся сетей связи), в ней говорится об информационной безопасности, и в этом заключается фундаментальная проблема, которая потребовала от нас разработки нормативной базы для РЖД.
Все системы обеспечения безопасности движения поездов, допущенные на эксплуатацию на инфраструктуре железных дорог, имеют документ "Доказательство безопасности", в котором приводится оценка вероятности возникновения потенциально ведущих к различного рода разрушениям опасных отказов.
Опасные отказы перечислены в Правилах технической эксплуатации (ПТЭ). К ним относятся: перевод стрелки под составом; ложная свободность участка; установление маршрута на занятый путь на станции и т.д.
Все они могут привести к столкновению поездов, ущерб от которого будет нанесен транспортной безопасности, экологической безопасности и безопасности здоровья и жизни пассажиров, а также сохранности грузов.
Вся информация, которую предполагается и требуется защищать в системах инфраструктуры и бортовых системах, имеет целый ряд особенностей (рис. 1). Однако с точки зрения четырех ключевых свойств информации (конфиденциальности, доступности, целостности и достоверности) для этих систем актуально лишь последнее. Она не конфиденциальна, и ее доступность сама по себе ничем не угрожает. При этом, если нарушается ее целостность и она не читается, правильно построенная по правилам функциональной безопасности система уходит в защитный отказ, то есть происходит отказ технических средств (отказ в обслуживании) как событие нарушения надежности.
Важно отметить, что если рассматриваемая система прошла сертификацию по доказательству безопасности и получила соответствующий сертификат в железнодорожном регистре, то она физически не может попасть в опасный отказ.
Может случиться только отказ в обслуживании, то есть отказ с точки зрения надежности. Другими словами, какое бы нарушение алгоритмов работы или искажение данных ни произошло, система их проанализирует, и только если ситуация нештатная, она уйдет в защитный отказ.
При таком подходе единственное свойство информации, которое нам интересно и важно, – это ее достоверность, чтобы злоумышленник не смог подменить одно сообщение на другое, с более разрешающими показаниями (большая скорость, большее количество свободных блок-участков впереди, зеленый сигнал светофора вместо красного и т.п.).
Именно в этом заключается очень характерная особенность систем обеспечения безопасности движения поездов, в первую очередь железнодорожной автоматики и телемеханики. Другими словами, здесь безопасность и надежность приходят в противоречие. Далее на наглядном примере рассмотрим, в чем оно заключается.
Представьте, что по рельсам едет локомотив. на каждой сигнальной точке ему с генератора тонально-рельсовой цепи посылается информация о количестве свободных впереди него участков и рекомендуемой скорости. Локомотив эту информацию принимает, расшифровывает и, соответственно, знает, как ехать. При этом локомотив в пределах одной сигнальной точки получает несколько пакетов одинаковых сообщений, например восемь. Допустим, в условиях плохой помеховой обстановки половина из них искажаются и не читаются, а среди остальных одно с ошибкой, а три правильные.
Локомотив ориентируется на три против одного и едет дальше. несмотря на то что информация локомотиву передается ответственная, срок ее жизни – время проследования одной сигнальной точки.
А теперь представьте, что эта информация зашифрована средствами криптографии. В этом случае длина посылки увеличивается, например, в два раза, и вместо восьми сообщений локомотив принимает четыре, из которых половина, то есть два, искажены помехами, а среди оставшихся двух одно с ошибкой и одно правильное. В этой ситуации локомотив уже не знает, какому из них верить. Если то же самое повторяется на следующей сигнальной точке, осуществляется экстренное торможение. Я специально привел такой утрированный пример, чтобы показать, что самостоятельно хорошая мера по защите информации может (при комплексном рассмотрении ситуации) просто навредить. Именно таким образом порой неоправданное применение средств криптографии приводит к снижению надежности и не повышает интегральную безопасность. Оно лишь улучшает информационную безопасность и защиту информации, срок жизни и актуальность которой – секунды.
Поэтому необходимо рассматривать информационную безопасность АСУ ТП не отдельно, а в совокупности с анализом рисков, возможных последствий и комплексно со всеми остальными аспектами безопасности того критически важного объекта, которым она управляет.
"Компьютерное зрение для аналитики дорожного движения: 3 успешных кейса" читать >>>
Департаментом безопасности РЖД принято следующее определение кибератаки: это компьютерная атака, направленная на нарушение функциональной безопасности (с целью достижения нарушения функциональной безопасности и достижения крушения или другой аварии с последствиями). На рис. 2 представлено различие кибератаки в нашем понимании и информационной атаки.
Целью информационной атаки является изъятие (или изменение) информации, а целью кибератаки – наоборот, нарушение функциональной безопасности объекта. Другими словами, в информационной и кибератаке причина и следствие, средство и цель меняются местами. Это два разных и самостоятельных понятия. Они во многом зависимые, параллельно существующие, но не рассматривать термин "кибератака", на наш взгляд, абсолютно не оправданно.
Для преодоления этого момента Центром кибербезопасности для РЖД был разработан ряд методических документов:
При проверках киберзащищенности в РЖД также применяется следующая нормативная база по кибербезопасности (включая федеральные ГОСТы, в которых используется термин "киберзащищенность"):
В регуляторном поле приоритетными видятся следующие задачи:
В результате это поможет рассматривать различные системы объекта в комплексе и с учетом соответствующей отраслевой специфики.
Описанные нормативные документы позволяют учитывать все особенности систем обеспечения безопасности движения поездов, АСУ ТП нижнего уровня, управления инфраструктурой и бортовыми системами локомотива с целью не допустить опасного отказа и перерывов в движении поездов по причине кибератаки.
Главная угроза и самое критичное последствие, которое может произойти, – если на каком-то участке или станции движение поездов парализовано за счет того, что система централизации или автоблокировки либо локомотивная система выведена из строя и ушла в защитный отказ.
Однако, как было сказано выше, каждая система, отвечающая за безопасность движения поездов, имеет документ доказательства безопасности и проходит сертификацию на функциональную безопасность. Если она сделана качественно, то не может допустить опасного отказа. Но ее можно вывести в защитный отказ за счет кибератаки, и именно на эти моменты мы обращаем основное внимание при проверке киберзащищенности микропроцессорных систем управления. Нами исследовано более 30 локомотивных, станционных и перегонных систем. Этот процесс идет непрерывно: как только меняется элементная база или программное обеспечение, проверка проводится повторно. Разработчики и поставщики локомотивных и напольных систем, работающих на инфраструктуре железных дорог, активно участвуют в этих проверках, так как, во-первых, этого требует нормативная база РЖД (без проверок системы не допускаются для эксплуатации на железнодорожном транспорте), а во-вторых это позволяет выявить конструктивные недоработки и неочевидные уязвимости, которые успешно устраняются.
Опубликовано в журнале "Системы безопасности" №6/2020