СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Компания «Актив»
25 мая
#Статьи #ИБ

Александр Михайличенко, консультант по информационной безопасности AKTIV.CONSULTING

Александр Михайличенко, консультант по информационной безопасности AKTIV.CONSULTING

Границы ответственности: Safety и Security

Вопрос устойчивости КИИ и непрерывности работы транспортных систем часто видят упрощенно: ИБ-специалисты отвечают за ИТ-инфраструктуру, серверы, рабочие станции, сетевой трафик и их основная задача — обеспечить движение, не допустив бизнес-потерь и репутационного ущерба. Проблема в том, что векторы атак давно вышли за пределы этой зоны, а ответственность осталась распределенной, что значительно усложняет защиту.

CISO в такой ситуации находятся меж трех огней. Бизнес спрашивает, зачем инвестировать, если система сертифицирована и работает. ИТ-подразделение ссылается на стандартную модель угроз и уточняет, что физические триггеры находятся вне их зоны ответственности. А владельцы АСУ ТП категорически против любых изменений в контуре, потому что каждое из них является риском отказа. Каждый по-своему прав и защищает свою часть работы, но в итоге 100% ответственности не появляется ни у кого.

Safety и Security

Глубинная причина кроется в фундаментальном конфликте двух подходов: Safety и Security. Safety, получив сигнал, оперативно переводит систему в безопасное состояние, чтобы она не навредила жизни людей и окружающей среде. Кто прислал сигнал и легитимен ли он, для Safety не имеет значения.

Security, напротив, вносит детерминизм. Он проверяет источник, правомерность команды, но на это уходит время. И здесь появляются вопросы: кто главный, и в какой момент необходимо остановить систему. Пока ответа нет, возникает серая зона, в которую и бьют злоумышленники.

Также подходы Safety и Security расходятся на уровне стандартов. EN 50126 (RAM, надёжность), EN 50128 (ПО), EN 50129 (системы безопасности) ставят целью безопасное состояние и работают со случайным сбоем. IEC 62443 (для Security) нацелен на контроль и предотвращение нелегитимного доступа, а угрозой является злоумышленник. И хотя стандарты расходятся, есть архитектурное решение: необходимо разделить зоны ответственности и добавить дополнительный мониторинг.

Кейс: Польша. Атака через радиоэфир

В 2023 году в Польше произошел масштабный отказ в обслуживании, и было остановлено более 20 поездов. Ни взлома сети, ни эксплойта уязвимости при этом не произошло. Вектором атаки выступила передача штатной команды экстренной остановки (Radio-stop) через открытый радиоэфир. Система отработала абсолютно корректно, и, с точки зрения Safety, выполнила свою функцию. Этот кейс наглядно показывает, что в транспорте атакуют не ИТ-систему, а право остановки. Stop Authority — любая сущность (система, протокол, человек или регламент), чья команда или состояние могут привести к остановке движения.

Как можно было этого избежать:

  • признать радиоэфир вектором атаки;
  • ввести мониторинг;
  • снизить вероятность каскадного отказа.

Кейс: Дания. Атака через подрядчика

Годом ранее, в 2022-м, Дания пережила полную остановку железных дорог. Поезда были исправны, пути свободны, инфраструктура работала корректно, но разрешение на отправление состава не выдали. Оказался скомпрометирован сторонний ИТ-подрядчик, обеспечивающий планирование экипажей, а без подтвержденного допуска машинистов движение невозможно. Это другой уровень Stop Authority — административный. Когда возникли проблемы у внешнего подрядчика, система встала.

Слепая зона SOC: навигация и время

Еще одной ситуацией, о которой редко задумываются, является подмена координат (GPS) и времени. Спутниковый сигнал GNSS открыт и функционирует без встроенной аутентификации, и сместить координаты можно достаточно легко. Safety-логика, обнаружив рассинхронизацию, снова переведет систему в безопасный режим (Stop). Формально детерминизм не нарушен, но по факту АСУ ТП приняла решение, опираясь на вымышленную реальность.

В этот момент SOC видит сетевые пакеты, но не видит радиоэфир и дрейф времени. И если мониторинг ограничен сетью, истинная причина остановки остается невидимой. То есть расследуется инцидент, которого с точки зрения сети не было.

Асимметрия наблюдения и архитектурный ответ

Движение транспорта может остановиться по следующим причинам: радиоэфир, временной дрейф, логика Safety и подрядчики. SOC из всего этого списка не видит ничего, он наблюдает за логами серверов, IP-трафиком и отслеживает права доступа. Это и есть асимметрия наблюдения.

Что делать? Строить безопасность вокруг Safety, а не внутри него, и все интеграции завершать в промышленной демилитаризованной зоне (Industrial Demilitarized Zone, IDMZ). IDMZ ограничивает то место, где заканчивается интеграция и появляется проксирование, но нужно определить, где именно есть баланс времени, позволяющий отправить радиосигнал с дополнительной проверкой. Также важно инвентаризировать не только оборудование, но и само право остановки. Если Stop Authority не учтен как актив, вы не управляете доступностью.

Стратегия защиты: архитектура и мониторинг

Порядок действий для выстраивания защиты может быть следующим:

1. Расширить наблюдаемость:

  • организовать мониторинг физических аномалий (RF, PNT);
  • определить зоны ответственности.

2. Провести инвентаризацию зависимостей:

  • проклассифицировать подрядчиков как критичных для доступности;
  • внедрить локальный кеш данных для автономной работы.

3. Распределить сценарии деградации:

  • сегментировать зоны так, чтобы Stop на одном перегоне не блокировал соседние;
  • выявить корреляцию массовых срабатываний Safety-систем.

Для реализации этих задач нужны редкие специалисты, владеющие одновременно пониманием физики, построением real-time-систем и компетенциями в моделировании угроз. Если такого человека нет в штате, обычно обращаются к внешним экспертам. Они помогают провести инвентаризацию, определить, где и что может сломаться, выстроить контуры интеграции, поговорить на одном языке с бизнесом, инфраструктурой и владельцами АСУ ТП и свести всех воедино.

Ключевой вывод из всего вышесказанного — следующий. В сфере транспорта злоумышленнику не нужно проникать внутрь, достаточно заставить систему легитимно остановиться. Пока вы не знаете, где находится право остановки, и кто может его инициировать, вы управляете лишь частью риска. Переход от защиты периметра к защите процессов и управлению Stop Authority — надежный способ вернуть контроль над работой транспортных систем.

Компания «Актив»
Автор: Компания «Актив»
Компания «Актив» — крупнейший российский производитель и разработчик программно-аппаратных средств защиты информации. Компания предлагает продукты и решения под брендом Рутокен для аутентификации, электронной подписи и обеспечения безопасности киберфизических систем, решения для лицензирования, защиты и управления продажами программных продуктов под брендом Guardant, оказывает услуги по консалтингу и аудиту в области информационной безопасности в рамках направления AKTIV.CONSULTING. На сегодняшний день подавляющее большинство российских государственных организаций и частных компаний используют решения и продукты Компании.
Комментарии: