Модель угроз для объекта КИИ
Инфраструктура энергетической отрасли – это глобальная распределенная сеть включающая в себя большое количество компонентов – от генерирующих и распределительных мощностей до «умных» электросчетчиков. Риск атаки на энергосеть необходимо предусматривать на каждом из этих участков. Актуальность этой задачи с каждым годом возрастает: так, осенью этого года была зафиксирована очередная мощная атака хакерской группировки на крупные организации по всему миру, среди пострадавших оказались и российские предприятия топливно-энергетического комплекса.
По данным InfoWatch ARMA, атаки на АСУ ТП объекта энергетики чаще всего начинаются по типовому сценарию: с применением фишинга, загрузки зараженных файлов или использования зараженных USB-устройств, а также через удаленные рабочие места. Как правило, вредоносное ПО сначала попадает в корпоративный сегмент предприятия, откуда проникает в технологический сегмент. Там оно и осуществляет основную деятельность: выводит из строя систему, оборудование, блокирует работу предприятия, также злоумышленники практикуют шантаж с требованием выкупа. Ежегодный рост количества таких атак связан, в первую очередь, с большими темпами цифровизации российских промышленных предприятий, усложнением ИТ-инфраструктуры и, соответственно, ростом количества уязвимостей в ней. Также стоит учитывать развитие каналов связи: сегодня более 70% атак на автоматизированные системы совершаются злоумышленниками удаленно, без физического присутствия на объекте.
Реагируя на растущие риски кибербезопасности, государство разработало ряд нормативных актов, регулирующих обеспечение безопасности на промышленных объектах. Ключевые среди них – 187 ФЗ «О безопасности критической информационной инфраструктуры» (вступил в силу 1 января 2018 г.) и Приказ ФСТЭК России от 25 декабря 2017 г. №239 «Об утверждении требований по обеспечению безопасности ЗОКИИ РФ» (в последней редакции от 20 февраля 2020 г.).
В частности, приказ ФСТЭК описывает такие понятия, как модель угроз безопасности информации и модель нарушителя. Согласно методике ФСТЭК, для типового проектного решения существует целый ряд источников угроз: программное, аппаратное обеспечение и стыки между ними, каналы связи и сетевой трафик, хранилища данных и другие. Модель нарушителя, в свою очередь, подразделяется на категории внутреннего и внешнего нарушителя. К внутренним нарушителям ФСТЭК теперь относит системных администраторов АСУ ТП (инженерный персонал, который имеет физический доступ к программному и аппаратному обеспечению системы, а также определенные привилегии), операторов АСУ ТП (операторы, диспетчера и т. д.), а также обслуживающий персонал (ремонтники, уборщики и другие), которые так же могут потенциально нанести вред оборудованию и ПО. К внешним нарушителям относится большой спектр угроз – от бывших сотрудников и конкурирующих организаций до спецслужб иностранных государств и экстремистских группировок.
Создание эффективной системы защиты АСУ ТП начинается с определения угроз безопасности и их категорирования – присвоения категорий значимости. Учитываются пожелания собственника АСУ ТП к степени защищенности предприятия. В зависимости от этого формируются требования к архитектуре системы безопасности и применению тех или иных средств защиты, а также описывается модель нарушителя. На следующем этапе происходит разработка, внедрение и ввод в эксплуатацию системы защиты или защищенной автоматизированной системы целиком.
Комплексная система кибербезопасности ТЭК
Одним из комплексных проектов по созданию надежной системы автоматизации стала совместная разработка InfoWatch ARMA и «Модульных систем Торнадо» – АСУ ТП «Торнадо», дополненная наложенными средствами защиты.
«Мы давно сотрудничаем с InfoWatch ARMA, многие разработки InfoWatch проходят обкатку на нашем программном техническом комплексе. Этот комплекс, включенный в реестр Минпромторга, имеет полностью сетевую архитектуру и строится по принципу «конструктора» на базе промышленных компьютеров и ИТ-технологий широкого применения. Его ключевые элементы – сервера приложений, сервера баз данных и рабочие станции. На мой взгляд, это наиболее совершенная архитектура из всех, которые сегодня присутствуют на российском и зарубежных рынках. Она легко кастомизируется, позволяет обеспечивать высокую надежность, устойчивость к любому единичному отказу. С 2010 года комплекс с успехом применяется в энергетике на объектах генерации», – поясняет генеральный директор «Модульные системы Торнадо» Олег Сердюков.
Компания InfoWatch ARMA предложила для АСУ ТП «Торнадо» стек программных продуктов, которые позволяют защитить систему на всех уровнях. Так, на уровне рабочих станций (АРМ инженера, АРМ оператора) и серверов действует прикладное программное обеспечение InfoWatch ARMA Industrial Endpoint. Оно обеспечивает защиту оборудования от основных угроз и контроль целостности файлов (отдельных файлов и директорий), контролирует применение внешних носителей (USB-флеш, кассеты, дискеты и диски), а также позволяет формировать белый список ПО для запуска. Сетевые соединения защищаются межсетевым экраном InfoWatch ARMA Industrial Firewall со встроенным модулем предотвращения вторжений и функцией глубокого анализа промышленных протоколов. Третий продукт – InfoWatch ARMA Management Console, единый центр управления, сбора и корреляции событий, зафиксированных с помощью двух предыдущих инструментов. Более подробно они описаны в материале ICT-Online.ru, посвященном комплексной защите АСУ ТП.
«InfoWatch ARMA придерживается комплексного подхода к защите АСУ ТП, рабочих станций, сетевой инфраструктуры. Наши решения при полном их внедрении и настройке позволяют реализовать до 90% технических мер 239, предусмотренных приказом ФСТЭК. Они обеспечивают главный принцип построения системы безопасности: максимально защитить и при этом не спровоцировать задержки или отказы в работе системы. Важно при этом учитывать, что действия наложенных средств защиты должны обязательно дополняться встроенными средствами защиты самих АСУ ТП, поскольку они закрывают потребности разных сегментов автоматизированной системы», – отметил руководитель отдела проектных решений InfoWatch ARMA Тимур Салихов.
Наложенные средства защиты, как и внутренние, заложенные в операционных системах программно-технических комплексов (ПТК) АСУ ТП, могут оказывать влияние на работоспособность системы, детерминизм (взаимодействие) ее компонентов. Совместимость программных средств InfoWatch ARMA с программно-аппаратным комплексом «Торнадо» была подтверждена в ходе тестирования, произведенного на тестовом стенде компании «Модульные системы Торнадо». Готовый защищенный проект, разработанный для энергетических компаний, так же может внедряться на предприятиях других отраслей: химической, металлургической, нефтехимической, нефтегазовой и других.