Особенности обеспечения информационной безопасности в распределенных АСУТП и ИИС
Ярослав Мироненко, 31/03/21
Вопрос обеспечения информационной безопасности в технических системах становится все более острым в корпоративной среде. Наибольшие вопросы при этом вызывает работа с системами, обычно существовавшими вне рамок информационной среды компании, – технологического управления (АСУ ТП) и информационно-измерительными (ИИС). Сложно переоценить важность сохранения контроля над ними и обеспечения безопасности при передаче данных в них. Сложнее, наверное, только обеспечить эту безопасность в условиях, когда перерывы в работе недопустимы, сложность структуры намного превосходит обычную локально-вычислительную сеть, а большая часть оборудования старше половины населения земного шара.
Распределенные технологические системы стоят особняком даже среди себе подобных, но сконцентрированных в пределах одного объекта. Во-первых, они действительно географически разнесены. информационно-измерительная система на нефтедобыче может состоять из нескольких тысяч средств измерения, раскиданных на сотни километров в тундре, и одного сервера сбора данных в Москве. То есть речь идет не об одном объекте, а о десятках, сотнях.
Связь между ними практически никогда не бывает хорошей. Чаще всего это GSM, реже радиорелейная связь. Во-вторых, работают с такой системой, как правило, несколько подрядных и организаций, крайне не заинтересованных в ограничении доступа к оборудованию и программной среде. И в-третьих, оборудование таких систем, да и сами системы в силу их исторического развития в условиях отсутствия актуальной нормативной базы, проектировались и создавались из того, что было, безо всякой оглядки на информационную безопасность.
Нетривиальная задача
Когда встает вопрос обеспечения этой самой информационной безопасности, большой ошибкой становится желание решить все вопросы сразу в течение очень короткого времени. Скорее всего, после активных действий система просто перестанет функционировать и вопрос обеспечения ИБ потеряет свою актуальность. Даже простая смена паролей на отдельных устройствах может привести к отказу системы, а обновление программного обеспечения – и вовсе похоронить ее целиком. Необходимо учитывать, что многие элементарные правила безопасности не работают в технических системах. Если вы не видите антивирус на сервере ИИС, это не обязательно означает, что его забыли поставить (хотя такое тоже возможно), а может лишь говорить о том, что для данного программно-технического комплекса (ПТК) установка антивирусного программного обеспечения: а) не рекомендована разработчиком, б) не позволяет работать системе.
Поиск решения по обеспечению приемлемого уровня безопасности такой системы становится действительно нетривиальной задачей. Ситуация еще может осложняться нежеланием (и часто вполне обоснованным) эксплуатирующей и обслуживающей службы реагировать на запросы по обеспечению информационной безопасности. Как правило, руководство компании занимает крайнюю позицию и либо огнем и мечом причиняет добро и наводит порядки в технических службах, либо игнорирует запрос служб контрольных и забивает большой гвоздь в крышку гроба информационной безопасности. Ни тот, ни другой подход не являются эффективными при всей своей простоте. на выходе любое предприятие хочет видеть стабильно работающий продукт, отвечающий всем требованиям безопасности, и это требует построения адекватного плана работ всех отделов компании, учитывающего специфики их деятельности в частности и рассматриваемого вопроса в целом.
Когда встает вопрос обеспечения информационной безопасности распределенной технологической системы, большой ошибкой становится желание решить все вопросы сразу в течение очень короткого времени. Скорее всего, после активных действий система просто перестанет функционировать.
Поэтапный план действий
Как мы уже отмечали, технологические системы – это очень инертная информационная среда, требующая медленных изменений. Каждое дополнительное действие должно быть проверено нормальным функционированием АСУ ТП и ИИС в течение некоторого промежутка времени. Только после получения адекватных результатов на одном этапе реализации ИБ можно приступать к следующему.
Физическая безопасность оборудования
Одним из первых таких этапов должно стать обеспечение физической безопасности оборудования технологических систем. Сложно говорить о какой бы то ни было достоверности данных с устройства, доступ к которому имеет даже северный олень. а именно так обстоит дело на удаленных объектах без постоянного пребывания персонала. Элементарное решение – шкаф с сигнализацией – уже будет существенным продвижением в данном вопросе. Еще лучше организовать нормальный контур безопасности на объекте размещения измерительного и коммутационного оборудования, но, к сожалению, это не всегда возможно.
Каналы связи
Следующим логичным шагом будет огораживание каналов связи. GSM-удлинитель RS-485, вне всякого сомнения, замечательный, удобный и
универсальный способ коммутации, но его безопасность, во-первых, оставляет желать лучшего, а во-вторых, обеспечивается третьими лицами.
Переход на проводные каналы связи, скорее всего, будет сопоставим по цене с небольшим островом в Тихом океане, но можно использовать и беспроводную связь, которая будет, с одной стороны, более защищенной, а с другой – не уронит бюджет компании.
Промышленные радиорелейные и Wi-Fi-сети получают все большее признание со стороны как сотрудников производств, так и специалистов по безопасности. Чем больше объектов перейдут на нормальные каналы связи, тем проще будет и организация информационной безопасности, и работа системы в целом.
Технологические системы – очень инертная информационная среда, требующая медленных изменений. Каждое дополнительное действие должно быть проверено нормальным функционированием АСУ ТП и ИИС в течение некоторого промежутка времени. Только после получения адекватных результатов на одном этапе реализации ИБ можно приступать к следующему.
Удаленный доступ
После очерчивания контура на нижнем уровне необходимо провести подобную операцию на верхнем. Сделать всю систему закрытой не получится в силу и функциональных причин (доступ к системе может быть регламентирован со стороны контролирующих организаций), и эксплуатационных (в распределенных технических системах больше 70% возникающих сбоев решаются удаленно с привлечением специализированных подрядных организаций, то есть третьих лиц, так как попасть на объект часто бывает невозможно именно в силу его географической удаленности). Поэтому нужно сделать так, чтобы доступ к ПТК открывался только по команде и только нужным лицам.
Огромное количество инструментов безопасного удаленного доступа в помощь. Перечень лиц, допущенных к системе, лучше определить заранее и регулярно проверять его соответствие факту. На некоторых предприятиях также предпочитают полностью изолировать технологические сети от корпоративных. Это не всегда возможно в век массовой интеграции и в любом случае снижает функциональные возможности единого информационного поля компании.
Лучше уж потратиться на нормальный шлюз и сделать отстройку данных для межсетевого обмена. Сквозная дыра между корпоративной и технологической сетью должна быть закрыта, иначе рано или поздно она станет причиной очень больших проблем. Все перечисленные действия будут актуальны вне зависимости от состава системы и планируемых в дальнейшем модернизаций технологических систем.
Настройка прав пользователей
После установки внешней ограды можно приступать к самому строительству. начать его лучше с организационных моментов – аутентификации и авторизации. Всех пользователей системы (и реальных, и потенциальных) надо описать, классифицировать, наименовать, наделить правами и обязанностями и заставить выполнять последние. При этом надо учитывать, что часто эксплуатацией технологических систем занимаются люди, которые не имеют высоких навыков работы с какими бы то ни было компьютерами и которые едва ли смогут помнить постоянно меняющийся абстрактный пароль из 16 символов на латинице с цифрами и специальными символами. Тем не менее, применяя адекватные требования к таким сотрудникам и гибко настраивая права пользователей, можно добиться очень высокого уровня безопасности. главным стимулом для сотрудников в равной степени станут постоянный мониторинг их дисциплины и адекватность требований информационной безопасности. Кстати, о мониторинге: возможность протоколирования действий пользователей не только позволит находить нарушения регламента сотрудниками, но и может стать серьезным подспорьем при разрешении ситуаций "оно само сломалось".
Сегментирование сети
После наведения хотя бы относительного организационного порядка можно приступать к техническому изменению сети системы. Точечная модернизация является идеальным инструментом, не требующим гигантских затрат и в то же время не способным обрушить все разом. К сожалению, она применима не всегда: старое оборудование не работает с новым ПО и, наоборот, включение дополнительных элементов в коммутационный канал не позволяет наладить опрос, система превращается в набор костылей и т.д. и т.п. Лучшим решением станет сегментирование сети: выделение отдельного оборудования и ПО в практически независимые кластеры, разделенные физически, виртуально, организационно. Этот же подход существенно повысит информационную безопасность в системе.
Архитектура сегментирования должна быть совместно определена службами эксплуатации, обслуживания и информационной безопасности. Правильным шагом будет установка межсетевых шлюзов между отдельными сегментами, учитывающих разный уровень безопасности и доступа третьих лиц. При начале модернизации отдельных сегментов надо опять-таки учитывать фактор удаленности. Те же пароли доступа на некотором оборудовании можно поменять только на месте его установки. После каждой операции надо подтверждать нормальное функционирование системы и только после этого двигаться дальше. а еще держать одну-две аварийно-восстановительные бригады в резерве.
Решение есть всегда
Итог всего вышесказанного: при обеспечении информационной безопасности в технических системах действовать нужно очень и очень аккуратно. возможно, придется пожертвовать частью функций системы или рекомендациями нормативных документов в угоду существованию системы в целом. Универсального решения этой задачи нет, и каждому предприятию придется отыскать свое.
Редакция советует
Уникальные решения для реализации режима конфиденциальности данных разрабатывают партнеры компании "ГРОТЕК".
Компания Perimetrix концентрирует свой потенциал, инновационный подход и уникальный опыт на создании корпоративной платформы внутренней информационной безопасности и интеграции с актуальными бизнес-процессами, организационной и технологической инфраструктурой заказчика. ОКБ САПР разрабатывает программно-аппаратные (в том числе криптографические) средства защиты информации от несанкционированного доступа.