Защита АСУ ТП

Безопасность автоматизированных систем управления технологическим процессом (АСУ ТП) является одним из ключевых направлений кибербезопасности для российских промышленных предприятий. Это связано как с личными интересами организаций, понимающих, что при эксплуатации АСУ ТП защита данных является критически важным процессом для сохранения эффективности и непрерывности производства, так и с требованиями российского законодательства.

В условиях увеличения количества и сложности кибератак, требования к стратегиям защиты АСУ ТП повышаются. Проблема защиты АСУ ТП включает не только техническую сторону, но и организационную. Комплексная стратегия должна включать подготовку персонала, создание культуры безопасности и регулярный контроль.

Несмотря на то, что доля кибератак на промышленные предприятия в 2022 году составила 9% от общего числа атак на организации, каждый инцидент может иметь глубокие последствия. Поэтому важно не только принимать меры по защите, но и обеспечивать быстрое восстановление системы после успешных кибератак.

Редакция CISOCLUB решила поговорить с российскими экспертами и узнать, как обеспечить безопасность АСУ ТП. Мы поинтересовались у них, как изменился этот рынок в последние годы, как угрозы наиболее актуальны, какие стандарты и технологии на данный момент считаются ключевыми, какое воздействие на рынок безопасности АСУ ТП оказывает нормативное регулирование и т. д. На наши вопросы ответили:

• Анатолий Сазонов, руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company.
• Александр Щетинин, генеральный директор Xello.
• Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC.
• Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft.
• Евгений Орлов, руководитель направления информационной безопасности промышленных систем Positive Technologies.
• Александр Моисеев, ведущий консультант по информационной безопасности AKTIV.CONSULTING.
• Кай Михайлов, руководитель направления информационной безопасности iTPROTECT.
• Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.

Как изменился рынок защиты АСУ ТП за последние 5 лет?

Анатолий Сазонов, руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company:

«Ландшафт российского рынка СЗИ, в том числе средств защиты АСУ ТП, очень сильно поменялся за последние два года, это связано, в первую очередь, с изменением геополитической обстановки и приостановкой работы весомой части зарубежных вендоров с российским рынком. Для заказчиков весьма болезненным оказался уход производителей промышленных NGFW.

Курс на импортозамещение, который задало государство, сильнее набирает обороты, особенно с введением в действие требований по импортозамещению для ряда государственных организаций, субъектов КИИ и других организаций, подпадающих под действие Указа Президента № 250. Заказчики активно тестируют решения по импортозамещению и закупают как отечественные СЗИ, так и СЗИ из дружественных стран».

Игорь Тюкачев, руководитель отдела развития бизнеса продуктов ИБ компании Axoft: «Ситуация на рынке заказчиков:

• воздушный зазор уже не панацея;
• аналитика ведущих игроков по ИБ показывает, что количество атак на АСУ ТП растет от года к году;
• кейсы российских и иностранных компаний показывают, как беззащитны промышленные предприятия перед атаками на АСУ ТП;
• ключевым драйвером по-прежнему является государство (через 187-ФЗ и приказы ФСТЭК);
• количество атак на российские активы в 2022 году кратно увеличилось;
• порог входа на рынок шифровальщиков заметно снизился – это дополнительная мотивация улучшить защиту промышленного сегмента.

Ситуация на рынке производителей:

• в целом, на рынке работают те же классы решений: защита рабочих станций на уровне SCADA (supervisory control and data acquisition, диспетчерский контроль и сбор данных), защита на границе промышленной сети, сетевой сенсор для анализа протоколов АСУ ТП в промышленном сегменте, датадиоды;
• дополнительное развитие получили решения класса PAM (privileged access management, управление привилегированным доступом);
• шифрование каналов связи, начиная от датчиков/управляющих устройств до уровня ПЛК (программируемый логический контроллер) и заканчивая уровнем SCADA;
• Указ Президента №250 – дополнительный драйвер внедрения российских решений по защите АСУ ТП».

Александр Моисеев, ведущий консультант по информационной безопасности AKTIV.CONSULTING, заявил, что появились новые отечественные достаточно зрелые решения на рынке ИБ.

Кай Михайлов, руководитель направления информационной безопасности iTPROTECT:

«Мы видим, что многие вендоры всерьез задумались о таком направлении защиты. Появилось больше промышленных межсетевых экранов и систем обнаружения вторжений с инспекцией промышленных протоколов. Появились также и средства защиты информации (СЗИ), адаптированные для работы с АСУ ТП, такие как KICS for Nodes и KICS for Networks от «Лаборатории Касперского», VipNet Coordinator IG от ИнфоТеКС, PT ISIM от Positive Technologies и пр.».

Какие наиболее актуальные угрозы безопасности существуют для АСУ ТП сегодня и как они развиваются?

Игорь Тюкачев (Axoft):

«На первом месте – программы-вымогатели/шифровальщики (в соответствии с отчетом Infowatch – более 70% атак за 2022 год). В результате работы шифровальщиков, если брать известные кейсы, были остановлены ключевые технологические процессы (например, в инциденте с энергетикой, часть города осталась без электроэнергии). В лучшем случае, компании лишаются «глаз» – систем удаленного контроля и мониторинга ключевых производственных процессов.

В 2022 году увеличилось количество DDoS-атак. Ключевое изменение – атаки по политическим мотивам, кибервойска для атаки на критическую инфраструктуру противника».

Александр Моисеев (AKTIV.CONSULTING):

«Атаки, уже ставшие традиционными, на изолированные сегменты АСУ ТП через несанкционированные подключения к беспроводным сетям и съемным устройствам памяти. Также рост числа «умных» технологических устройств IIoT, их подключение к облачным платформенным решениям, и как следствие риск компроментации.

Кроме того, важным аспектом является выявление уязвимостей и недекларированных функциональных возможностей (бэкдоры, встроенные учетные записи и т.д.) в компонентах ПО из состава АСУ ТП».

Кай Михайлов (iTPROTECT) подчеркнул, что в отличие от сетей общего пользования, где основной ценностью зачастую является информация, в технологических сетях главной угрозой является вмешательство в технологический процесс. Такое вмешательство происходит путём отправки оборудованию команд по специальным протоколам (например, MODBUS, PROFIBUS и др.), аналогов которым нет в привычных корпоративных сетях, под которые заточены типичные средства защиты.

«При этом, общей с обычными сетями угрозой является риск шифрования сервисов, что в случае с АСУ ТП может привести к выводу их из строя и нарушению технологического процесса».

Анатолий Сазонов (Infosecurity a Softline Company) заявил, что в целом профессиональное общество АСУ ТП крайне скупо делится информацией о реализованных атаках, но можно отметить, что в последний год резко выросло количество компьютерных атак и изменилась их цель – если раньше целью являлось в основном достижение материальной выгоды, то теперь в большинстве атак, особенно направленных на крупные промышленные предприятия, целью являются текущие политические и идеологические соображения, при этом многие источники атак располагаются за рубежом.

«Одним из рисков и угроз является прекращение поддержки со стороны зарубежного вендора, а также несанкционированная активация программных закладок, потенциально имеющихся в зарубежном ПО АСУ ТП».

Какие стандарты, технологии и СЗИ считаются ключевыми для защиты АСУ ТП сегодня? Какие из них, на ваш взгляд, наиболее эффективны?

Александр Щетинин, генеральный директор Xello:

«Обеспечение информационной безопасности АСУ ТП — была и остаётся одной из самых сложных задач. Это связано как со спецификой технологического сегмента сети, так и конкретной отрасли. Можно выделить несколько ключевых барьеров:

• технические ограничения установки обновлений операционных систем из-за рисков негативного влияния на технологические процессы;
• локальность систем АСУ ТП и ограниченность сбора событий информационной безопасности; 
• отсутствие обновлений от западных производителей оборудования и поставщиков ПО;
• использование проприетарных протоколов взаимодействия и, как следствие, сложность внедрения стандартных средств сетевой безопасности.

Поэтому передовые практики выявления уязвимостей и угроз, которые используются в корпоративных сетях, гораздо сложнее соблюдать в технологическом сегменте из-за требований высокой доступности и медленных процессов тестирования решений. Эти условия осложняют внедрение надёжных средств контроля доступа, которые повсеместно используются в ИТ. Необходимы дополнительные методы кибербезопасности, чтобы предоставить защитникам промышленных сетей возможность опережать действия злоумышленников.

Киберобман (cyber deception, deception) — это решение, которое позволяет выполнять эти требования и обеспечивать обнаружение нелегитимных действий как на ранних стадиях, так и в процессе горизонтального перемещения злоумышленника по сети. Это возможно благодаря внедрению ловушек, имитирующих специальное программное обеспечение, устройства ICS/SCADA, ПЛК в сети. Они устанавливаются вокруг существующих системных компонентов и ограничивают риск негативного влияния на доступность.

Типичное промышленное устройство в реальной среде использует один или несколько протоколов, управляет и контролирует некоторый набор переменных и выполняет определённые действия, основанные на логике. Ловушки должны действовать подобным образом. Они передают через протоколы одну или несколько переменных, соответствующих физическому процессу, который они эмулируют. Существуют низкоинтерактивные и средне интерактивные ловушки (имитируют ограниченный набор переменных) и высокоинтерактивные (позволяют имитировать полноценные устройства и службы).

Таким образом, распределённые ловушки по всей сети позволяют выявить нелегитимное взаимодействие с ними. Например, вредоносные программы в ИТ-среде ищут уязвимые версии сетевых служб, а в промышленном сегменте — типы устройств, которые взаимодействуют с интересующими их процессами. Если злоумышленник попытается использовать ловушки в процессе эскалации атаки, специалисты сразу же будут оповещены системой киберобмана о потенциальном инциденте безопасности».

Евгений Орлов, руководитель направления информационной безопасности промышленных систем, Positive Technologies, подметил, что ввиду специфики промышленных систем АСУ ТП и рисков, вызванных внезапной остановкой производства, ключевыми являются средства защиты, которые обеспечивают обнаружение, выявление и реагирование на угрозы без вмешательства в технологический процесс.

«В первую очередь, это анализаторы сетевого трафика (NTA), работающие с копией трафика и выявляющие подозрительные активности, которые могут сигнализировать о несанкционированных сетевых коммуникациях. Помимо популярных сетевых протоколов обмена информацией, коммуникаций или удалённого доступа (например, FTP или RDP) такие сенсоры способны разбирать пакеты и глубоко анализировать технологический трафик (например, МЭК 61850 или OPC). Это необходимо для анализа данных и команд контроллерам. Такой сенсор эффективен в раннем обнаружении подозрительной активности, которая может быть инициирована не только снаружи, но и изнутри периметра технологической сети», — заявил эксперт.

Анатолий Сазонов (Infosecurity a Softline Company): «Идеология защиты АСУ ТП в настоящий момент меняется, поскольку производители АСУ ТП начинают использовать больше средств «промышленного интернета вещей» (IIoT), соответственно, кратно увеличивается количество используемых устройств. При этом периметр защиты уже не так жестко ограничен, что вызывает сложности в определении необходимого набора средств защиты».

Игорь Тюкачев (Axoft): «Базовый уровень защиты включает в себя:

1. Защиту SCADA – это рабочие места оператора, администратора SCADA, сервера хранения данных с датчиков АСУ ТП.
2. Защиту периметра промышленной сети – межсетевой экран с возможностью контроля промышленных протоколов.

Далее можно говорить про расширенный уровень защиты:

1. Сегментирование промышленной сети при помощи межсетевых экранов с возможностью контроля пром. протоколов.
2. Контроль трафика внутри промышленной сети – NTA-решения для контроля горизонтального трафика, который позволяет обнаруживать атаки, а также нелегитимные команды (например, от уровня SCADA на уровень ПЛК).
3. Датадиод – позволяет передавать данные только в одну сторону, например, для организации передачи данных мониторинга из пром. сети в корпоративную сеть.
4. PAM-решения – контроль пользователей на границе с промышленной сетью – запись видео и текстовых логов для будущего разбора инцидентов и контроля передаваемых команд.
5. Шифрование каналов связи, особенно беспроводных каналов. Шифрование на уровне SCADA.

Организационные меры – последние в списке, но не последние по значимости.

1. Сегментирование сети.
2. Выделение в DMZ (демилитаризованная зона сети) серверов уровня SCADA.
3. Ограничение доступа, включая физическое ограничение доступа к сегментам АСУ ТП, подключение внешних устройств.
4. Физический контроль сотрудников.

Разумеется, эффективен комплексный подход, где организационные меры используются совместно со средствами защиты информации. Базовый уровень – это программа-минимум».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, рассказал, что технологии и средства защиты остаются традиционными — антивирусные программы, средства защиты от несанкционированного доступа, сканеры уязвимостей, средства шифрования трафика, межсетевые экраны и т.п. Зачастую СЗИ используются аналогичные тем, что предназначены для корпоративной сети передачи данных (КСПД). 

«Все технологии эффективны, если используются в комплексе и должным образом настроены, чего нельзя сказать об обратной ситуации. В текущих реалиях недостаточно просто сделать закрытый сегмент. Требуется учитывать инженерные станции, обновления управляющих программ, диспетчерские службы и другие факторы, поэтому надежно обезопасить системы предприятия может только использование комплексного решения», — уточнил представитель iTPROTECT.

Александр Моисеев (AKTIV.CONSULTING): «Стандарты серии кибербезопасность АЭС: IEC 62859, IEC 62645, IEC 63096, которые активно обновляются, стандарты серии кибербезопасность промышленной автоматики IEC 62443хх, а также функциональная безопасность IEC 61511хх. Не теряет своей актуальности модель «Purdue» по защите технологических сетей. Помимо промышленных сетевых сенсоров и шлюзов, а также специализированных антивирусных решений, эффективной можно назвать настройку базовых механизмов безопасности, которые поддерживаются оборудованием и его ОС».

Как требования к защите АСУ ТП могут варьироваться в различных отраслях?

Кай Михайлов (iTPROTECT): «По нашему опыту работы, особых различий по отраслям нет. Как правило, с точки зрения построения сетевой архитектуры, везде применяются одни и те же технологии, протоколы передачи данных, например, MODBUS, X400, PROFBUS и др. Исключения существуют, но они ограничиваются отдельными специфичными производствами. В работе мы руководствуемся требованиями регуляторов, но и они в целом универсальны для отраслей, как и подходы. Отличия зависят уже от конкретной инфраструктуры, используемых в ней решений, процессов и пр.».

Александр Моисеев (AKTIV.CONSULTING) отметил, что на некоторые отрасли могут действовать ещё международные требования и стандарты. «К примеру, для атомной энергетики актуальны требования 17-ой книги МАГАТЭ, стандарты серии кибербезопасность АЭС: IEC 62859, IEC 62645, IEC 63096, а также требования к системам защиты и блокировок».

Как влияет нормативное регулирование на рынок безопасности АСУ ТП? Какие изменения в регулировании могут повлиять на эту область в будущем?

Роман Писарев (iTPROTECT) заявил, что в настоящее время уже представлено несколько перспективных инициатив, однако есть большое пространство для улучшений и совершенствования. Приказ ФСТЭК №31 многими трактуется скорее, как рекомендация, в то время как федеральный закон №ФЗ-187 затрагивает только отдельные отрасли (например, финансовый сектор, ТЭК, горнодобывающую, металлургическую и химическую промышленности и пр.), а вытекающий из него Приказ ФСТЭК №239 применим только для значимых объектов КИИ из этих отдельных отраслей.

«Точно можно сказать, что будет и дальше развиваться направление импортозамещения в области ИТ и ИБ в частности.  Что касается прогнозирования изменений законодательства, то пока сложно четко определить, по какому вектору будет идти развитие. Возможно, в сторону большего контроля со стороны государства за применимостью, а также расширения сферы применения законодательных норм. Нормативная часть уже есть, остается решить, какие меры предпринять, чтобы мотивировать участников рынка воздержаться от ее нарушения», — прокомментировал эксперт.

Игорь Тюкачев (Axoft): «На мой взгляд, нормативное регулирование – один из главных драйверов на рынке защиты АСУ ТП. На рынке пока не так много действительно зрелых компаний, которые самостоятельно заботятся о безопасности АСУ ТП. Часть недостаточно зрелых компаний пытаются закрыть вопрос ИБ воздушным зазором, только организационными мерами или встроенными решениями защиты.  Поэтому в данной сфере регулятор является главным маркетологом и двигателем решений по защите».

Игорь Тюкачев уверен, что проблема крупных компаний в том, что часто АСУ ТП – это отдельный мир, куда ИБ-сотрудников не пускают. Любые наложенные средства защиты теоретически могут нарушить производственные процессы. Бизнес в лице, например, главного инженера завода может вообще не прислушиваться к ИБ-специалисту. И ужесточение нормативного регулирования повлечет за собой более конструктивный диалог между бизнесом и подразделением информационной безопасности.

Анатолий Сазонов (Infosecurity a Softline Company): «Государство учитывает изменившиеся реалии, последовательно проводит курс на импортозамещение СЗИ, в том числе и по АСУ ТП, поэтому в ближайшей и среднесрочной перспективе можно ожидать разработки средств защиты АСУ ТП, которые будут аналогичны по параметрам оборудованию ушедших с рынка вендоров. Также последние изменения в Постановлении Правительства № 127 значительно расширяют спектр организаций, в том числе и промышленных, которые подпадают под требования 187-ФЗ «О безопасности КИИ», и соответственно, необходимость защиты АСУ ТП. При этом необходимо отметить, что регуляторы получили дополнительные полномочия по проверке корректности направляемых сведений о категорировании. В связи с этим значительно вырос рынок аудитов ИБ, различных анализов и тестирований на проникновение, заказчики обращают большое внимание на решения по автоматизации процессов управления ИБ, становится больше SOC. Процессы управления инцидентами заказчики строят как своими силами, так и с помощью интеграторов, или же отдают эти процессы на аутсорс».

Как должна быть организована эффективная система предотвращения кибератак в АСУ ТП? Какие инструменты и подходы здесь наиболее эффективны?

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «Самое важное требование при защите АСУ ТП – максимальная изоляция от корпоративных сетей и коммуникаций.

Рассмотрим несколько вариантов:

• А) Идеальный случай – полная изоляция, при которой физическая связь между АСУ ТП и другими сетями отсутствует встречается весьма редко.
• Б) Если полная изоляция невозможна либо нежелательна, например, при передаче телеметрии компонентов АСУ ТП в корпоративную сеть для мониторинга состояния технологических процессов, то ограничить входящий трафик в сеть можно при помощи однонаправленных шлюзов передачи данных – диодов. Диод реализует логику работы, при которой движение трафика физически возможно только в одном направлении – из сети АСУ ТП в корпоративные сегменты.
• В) Если необходима двухсторонняя коммуникация с компонентами АСУ ТП и организация принимает связанные с этим риски, то мы рекомендуем установить на периметре сети АСУ ТП межсетевой экран с функцией предотвращения сетевых атак (Intrusion Prevention System – IPS) и организовать на нем демилитаризованную зону с терминальными серверами для исключения прямых соединений из корпоративных сегментов.

После определения параметров изоляции сети АСУ ТП компании нужно принять обоснованное решение об использовании других средств для обеспечения ИБ, в числе которых защита конечных точек (антивирусное ПО и Endpoint Detection and Response – EDR), выявление аномалий в сети (Network Traffic Analisys – NTA), регулярный анализ защищенности компонентов АСУ ТП (Vulnerability Management – VM), анализ и корреляция событий безопасности (Security Information and Event Management – SIEM) в специализированных для АСУ ТП редакциях».

Игорь Тюкачев (Axoft): «Как я уже писал выше, должен быть комплексный подход: организационные меры совместно со СЗИ. Начать необходимо с оценки последствий: «Что будет, если ключевой процесс остановится?», «Что будет, если мы ничего сейчас не станем делать?». Это позволит определить уровень финансирования ИБ и нарисовать дорожную карту, так как процесс построения эффективной защиты занимает более одного года. Дорожная карта позволит бизнесу и ИБ-директору находиться в одном информационном поле и контролировать процесс».

Евгений Орлов (Positive Technologies): «Во-первых, сложно защищать то, что не видно. Поэтому необходимо провести комплексную инвентаризацию узлов в инфраструктуре АСУ ТП. Для этого надо собрать информацию о сетевых устройствах, серверах АСУ ТП, рабочих и инженерных станциях из технологического трафика и дополнить её данными из систем АСУ ТП. В результате появится возможность анализировать сетевые взаимодействия между узлами, обнаруживать появление новых устройств или нетипичные паттерны поведения пользователей (например, обращение с инженерной станции к котроллеру, находящемуся в работе).

Во-вторых, защита должна быть эшелонированной, всеобъемлющей и результативной. Нельзя полагаться только на межсетевой экран или так называемый «воздушный зазор» (диод данных между технологической и корпоративной сетями или ДМЗ), защищаться нужно и от внутренних угроз (инсайдеров) и подрядчиков, умышленно или неумышленно влияющих на технологический процесс при выполнении своих трудовых обязанностей. Хорошей практикой здесь станет сегментирование сети и непрерывный анализ с глубоким разбором технологического трафика (защита сети), анализ и контроль процессов и действий пользователя на серверах и рабочих станциях (защита хостов).

В-третьих, средства защиты являются лишь инструментами в руках экспертов, поэтому на предприятии должны работать специалисты и осуществляться процессы обеспечения информационной безопасности действующих регламентов реагирования на инциденты в АСУ ТП. Защита АСУ ТП должна быть вписана в процессы ИБ предприятия».

Александр Моисеев (AKTIV.CONSULTING): «Все зависит от типа оборудования, входящего в состав элементов АСУ ТП. Для компьютеризированного оборудования (HMI, панельные компьютеры, печи, химические установки, обрабатывающие центры, станочное оборудование, и т.п.)  — это прежде всего настройка базовых механизмов безопасности, которые поддерживаются операционной системой: разграничение доступа, сброс всех паролей по умолчанию и установление сложных паролей, белые списки приложений, сетевой экран уровня хоста, контроль устройств, контроль целостности программ и конфигурационных файлов.

Если операционная система технологического оборудования позволяет, а также проведен анализ надежности и функциональной безопасности оборудования, то можно установить специализированное антивирусное средство защиты, которое дополняет безопасность рядом технологий, таких как антивирусных контроль и хостовая система предотвращения вторжений.  Для промышленного сетевого оборудования, где изменения в топологии сети и составе оборудования не такие частые, можно отметить настройку статической маршрутизации, выделение демилитаризованных зон Industrial DMZ между корпоративной и технологической сетью, размещение сетевых сенсоров (по сути IDS), поддерживающих промышленные протоколы (Modbus, OPC UA и т.д.), средства инвентаризации сетевых активов, контроль аномалий в сети и сигнализация об изменениях технологических уставок. Как правило, сами аппаратные модули ПЛК имеют встроенную парольную защиту программ от изменений.

Кроме того, есть ряд решений, которые на основе имеющихся архивных логов и известных индикаторов компрометации могут выявлять ретроспективные инциденты ИБ. Также не стоит забывать про сканирование на уязвимости и проверку обновлений, ФСТЭК России не так давно опубликовал достаточно подробную методику тестирования обновлений. Работоспособность и безопасность обновлений лучше всего проверять на выделенных стендах с применением антивирусного контроля, условного «поведенческого анализа» (мониторами активности приложений и сетевой активности, либо специализированными «песочницами»). Организации из контура Госкорпораций начинают внедрять SIEM-решения, в том числе в технологических сетях».

Кай Михайлов (iTPROTECT) подчеркнул, что особенностью промышленных сетей является гораздо большая статичность по сравнению с корпоративными — набор активов и связей между ними меняется гораздо реже чем в офисе, где пользователь может принести на работу, например, собственное устройство (BYOD). Также промышленные сети устроены чуть проще с точки зрения «разношёрстности» сервисов — в промышленных сетях реже встречаются веб-сервисы, отсутствует почта, мессенджеры и т. д. В связи с этим фактом гораздо лучше проявляет себя подход организации «белых списков», например, разрешенного ПО, сетевых взаимодействий и т.д. «Белые списки» в данном случае легче контролировать и применять в целях защиты. 

«В целом можно выделить несколько важных моментов обеспечения защиты информации в промышленных сетях. Первый – изоляция или защита сегментов АСУ ТП, с организацией контроля и шифрования трафика внутри них. Второй – защита конечных точек как внутри АСУ ТП, так и во взаимодействующих сегментах. Третий – защита технологических компонентов, таких как контроллеры или элементы управления. Также важно не забывать про выстраивание процедур ИБ и повышение кибер-грамотности – без этого никакие средства работать не будут», — отметил эксперт.

С какими сложностями сталкиваются разработчики и поставщики услуг, продуктов по защите АСУ ТП?

Кай Михайлов (iTPROTECT): «Основное требование заказчика – защита должна быть на втором плане, главным является отсутствие нарушений технологического процесса. Организация безопасности любого предприятия всегда ведёт к некоторому снижению удобства для пользователей и отдела ИТ. Если при защите непромышленных предприятий можно позволить некоторый процент, скажем, ложных блокировок, то при защите АСУ ТП это недопустимо, т.к. любые простои производства чреваты крупными убытками. Еще одна особенность – в АСУ ТП существует множество компонентов, которые необходимо обезопасить, но на них нельзя использовать наложенные средства защиты, поэтому приходится обходиться встроенными функциями безопасности».

Александр Моисеев (AKTIV.CONSULTING) назвал основной сложностью долгий цикл согласования проектных решений, анализ их влияния на функциональную безопасность в экспертных организациях.

Евгений Орлов (Positive Technologies): «Во-первых, это характер промышленных систем, непрерывность или критичность процессов. АСУ ТП — довольно консервативная область, где действует принцип «работает – не трогай».  Зачастую технологические процессы нельзя остановить для установки СЗИ вне технологического окна обслуживания системы, невозможно применять меры реагирования (изоляции, удаления, остановки), так как это может вызвать аварийную остановку оборудования.

Определённые трудности вызывают устаревшие операционные системы на компонентах АСУ ТП, невозможность ничего установить на серверы без согласования или даже без полного тестирования с производителем АСУ ТП (а ведь вендор может уже уйти с российского рынка), запрет на активные исследовательские действия (сканирование сети) и предпочтение не влияющих на техпроцесс средств защиты.

Отдельно стоит отметить необходимость командной работы ИБ департамента и службы главного инженера, отвечающего за производство и технологический процесс. Средства защиты устанавливаются на удалённые площадки, на которых нет своего специалиста по ИБ, и реагированием на инциденты занимается технолог, а это не всегда эффективно. Для корпоративного сотрудника по информационной безопасности знать все тонкости технологического процесса и организации инфраструктуры АСУ ТП также может быть лишней нагрузкой».

Игорь Тюкачев (Axoft): «Несмотря на требования регулятора и постоянно растущее число атак, в том числе успешных, многие компании считают, что:

1. Их это не коснется. Никогда такого не было и значит – не будет (из-за закрытости в части инцидентов ИБ очень мало публичных кейсов успешных атак).
2. Воздушный зазор решит все вопросы. Если сети отделены друг от друга физически, то вероятность атаки минимальная.
3. Организационных мер – выпуска регламентов и приказов – вполне достаточно.
4. Наложенные средства защиты могут повлиять на технологические процессы.

Также сложность представляет пилотирование решения. Проведение пилотирования на реальной промышленной сети чревато влиянием на технологический процесс. Поэтому идеально было бы построить физический двойник сегмента АСУ ТП и на нем реализовать пилот. Но разворачивание двойника для компаний-интеграторов – это дополнительные вложения, которые увеличивают издержки и время, затраченное на проект».

Владимир Арышев (STEP LOGIC):

• В АСУ ТП часто используются устаревшее оборудование или ПО. Например, до сих пор широко распространен Windows XP, содержащий большое количество уязвимостей. При этом менять что-либо в составе системы зачастую не только нежелательно, но и невозможно ввиду прекращения развития продукта производителем. При разработке средств защиты необходимо учитывать это условие.
• Средства защиты должны не только обеспечивать адекватный уровень безопасности, но и не оказывать влияния на компоненты АСУ ТП, что может быть непросто в случае их интерактивного взаимодействия. Вопрос осложняется тем, что ряд компонентов АСУ ТП находится на полном обслуживании у производителей, что затрудняет выстраивание коммуникаций для корректной интеграции средств защиты.
• В АСУ ТП применяются специализированные сервисы и протоколы, поэтому варианты атак на такие системы будут отличаться от тех, что проводятся на корпоративные ресурсы, а значит потребуются специфические средства защиты. Антивирусное ПО и системы IPS должны содержать специализированные сигнатуры, контроль приложений – протоколы АСУ ТП, системы анализа защищенности – проводить анализ компонентов АСУ ТП, не нарушая их работу. Использование в АСУ ТП продуктов для корпоративных ресурсов может быть как бесполезным, так и наносить вред компонентам АСУ ТП. Например, в нашей практике был случай, когда промышленная организация установила на периметр межсетевой экран без специализированных сигнатур. Система выполняла только обычное межсетевое экранирование и не смогла обеспечить глубокую инспекцию трафика и контроль протоколов АСУ ТП. Другой пример – организация установила корпоративный антивирус на устаревшее оборудование, которое не выдержало дополнительной нагрузки и прекратило выполнять свои функции».

По каким критериям сравнивать и выбирать поставщиков услуг, продуктов для защиты АСУ ТП? Как оценивать эффективность поставляемых услуг и продуктов?

Евгений Орлов (Positive Technologies): «Критерии выбора решений определяет для себя сама компания. Это делается исходя из каких целей, которые необходимо достигнуть: закрыть определенные требования регулятора (например, Приказ 239 ФСТЭК) или создать меры для снижения рисков реализации конкретных недопустимых событий. Нужно понимать, что выбор поставщика СЗИ АСУ ТП — это «игра в долгую». АСУ ТП часто имеют проектный срок эксплуатации в десятки лет, и менять сервера, программное обеспечение и средства защиты каждые 3-5 лет не получится. Потому важно обращать внимание на опыт и наличие собственных экспертов в АСУ ТП, выполняющих не только разработку ПО и его внедрение, но и разбор и анализ инцидентов, защищённости, проводящих пентесты в технологическом сегменте».

Игорь Тюкачев (Axoft): «При выборе продукта я бы выделил следующие критерии:

1. Решение должно входить в реестр отечественного ПО, являться чисто российской разработкой.
2. Наличие требуемого функционала, который работает заявленным способом.
3. Наличие качественной техподдержки.
4. Наличие референсов (желательно, в той же отрасли).
5. Экосистемность – если один вендор позволяет закрыть бОльшую часть своими решениями, будет синергетический эффект».

Владимир Арышев (STEP LOGIC): «При выборе поставщиков средств защиты, в первую очередь, необходимо обратить внимание на требования к ИБ и параметры используемой инфраструктуры.

• Средства защиты должны быть совместимы с инфраструктурой АСУ ТП.  Хорошо, если у вендора будет документальное подтверждение совместимости с конкретными компонентами АСУ ТП.
• Средства защиты должны реализовывать требуемый функционал ИБ.
• Наличие сертификата ФСТЭК поможет значительно упростить выполнение требований регуляторов, например, при наличии значимых объектов КИИ.
• Мы рекомендуем отечественных производителей не только в связи с требованиями регуляторов, но и для обеспечения непрерывного технического сопровождения и исключения возможного вредоносного влияния.
• К внедрению систем защиты рекомендуется привлекать специализированные организации, имеющие большой опыт работы с чувствительными системами АСУ ТП и экспертизу для корректного встраивания средств защиты и исключения негативного влияния на существующие системы».

По словам Александра Моисеева (AKTIV.CONSULTING), аналитическое сравнение дает не самые точные результаты, лучше всего оценивать эффективность по результатам пилотных проектов на стендовой инфраструктуре.

Кай Михайлов (iTPROTECT): «Стратегия та же, что и при выборе поставщиков классических средств защиты. На нулевом шаге мы определяем, насколько требуется придерживаться требований регуляторов, так как не все промышленные компании являются субъектами КИИ или обладают критическими объектами КИИ, что дает некоторую свободу выбора). Далее можно использовать те же критерии для выбора вендора средств защиты, что и всегда – функциональность, надежность, стоимость (включая обслуживание, персонал, компетенции), а также применимость для конкретной инфраструктуры и процессов».

Какова роль обучения и подготовки персонала в обеспечении безопасности АСУ ТП? Какие стратегии обучения считаются наиболее эффективными?

Кай Михайлов (iTPROTECT): «Большая доля проблем с защитой АСУ ТП происходит по причине халатности или недостаточной киберграмотности, как у обслуживающего персонала, так и среди ИБ-сотрудников. В некоторых сегментах встречаются попытки сотрудников получить с АРМов доступ в Интернет с помощью USB-модемов. Также распространена установка несанкционированного ПО. Например, в нашей практике был случай, когда оператор установил на рабочую станцию онлайн-игру, в которую играл, подключаясь к сети с помощью вышеуказанного модема. Это создает дополнительную неконтролируемую брешь в защите, и представляет серьезную угрозу.

Поэтому обучение играет критически важную роль. Зачастую проблемы случаются не из-за злого умысла, а из-за мелких и легко предотвращаемых ошибок. Чтобы этого избежать, лучше всего проводить полное обучение персонала, начиная с основ, и заканчивая конкретными темами, например, по организации безопасной работы с электронной почтой или веб-приложениями. Для этого есть специализированные платформы класса Security awareness».

Александр Моисеев (AKTIV.CONSULTING) заметил, что для руководящего состава и топ-менеджмента необходимо периодическое теоретическое обучение с обязательной демонстрацией сценариев взлома элементов АСУ ТП через их уязвимости. Для технического персонала, осуществляющего работы непосредственно в ходе смен, – практическое обучение с закреплением навыков по реагированию и восстановлению после инцидентов. Для ИБ-специалистов – отдельное практическое обучение по работе с СЗИ и промышленными протоколами.

Игорь Тюкачев (Axoft): «Ключевой ресурс в обеспечении безопасности – это люди. При этом сотрудники должны разбираться в АСУ ТП и в их защите. Опыт показывает, что лучше инженера АСУ ТП переобучить на специалиста по средствам защиты АСУ ТП, чем наоборот. Чтобы что-то защищать, нужно понимать, как это работает и разговаривать с людьми на одном языке. Опыт Axoft показывает, что путь из АСУ ТП в ИБ – правильный.

Устанавливая любые средства защиты, нужно понимать, кто будет заниматься их поддержкой и развитием, включая поддержку и развитие процессов. Недостаточно внедрить решения – нужно выстроить процесс таким образом, чтобы при срабатывании СЗИ оперативно начиналось реагирование, чтобы успеть предотвратить или минимизировать последствия атаки».

Владимир Арышев (STEP LOGIC): «В данный момент наблюдается тренд на цифровизацию: вместо устаревших аналоговых компонентов АСУ ТП используются цифровые, меняются специализированные протоколы передачи данных. Появляются новые уязвимости и векторы атак, поэтому обучение персонала приобретает важное значение.

Качественное обучение необходимо не только специалистам ИБ, но и другим сотрудникам, задействованным в эксплуатации АСУ ТП. Хорошей практикой является использование систем Security Awareness, которые предлагают обучающие курсы и технологии для различных категорий: основы ИБ для эксплуатирующего персонала, углубленный материал для службы ИБ, бизнес-игры для топ-менеджмента. Многие производители систем Security Awareness могут произвести доработку материала, чтобы обучение было более сфокусированным на используемых в организации технологиях и инфраструктуре, что значительно повышает его эффективность».

Какие тенденции и изменения вы предвидите в области защиты АСУ ТП?

Игорь Тюкачев (Axoft):

• Рынок АСУ ТП будет развиваться за счет российских решений, а также решений из дружественных стран.
• Воздушный зазор уйдет в прошлое, так как теряется оперативность получения информации – то, ради чего внедрялась автоматизация.
• Количество атак будет увеличиваться.
• Порог входа будет снижаться (стоимость инструментов для доступа к сегменту АСУ ТП будет падать).
• Развитие IIoT и беспроводных технологий – новый вектор атак. В ответ будет развиваться шифрование всех каналов передачи данных».

Александр Моисеев (AKTIV.CONSULTING): «Помимо импортозамещения в рамках Указа Президента №166, можно отметить передачу большого объема технических данных из технологических сетей в корпоративные для их дальнейшей аналитики в ERP и BI. Рост числа умных технологических устройств IIoT, их подключение к облачным платформенным решениям».

Роман Писарев (iTPROTECT): «На протяжении многих лет безопасность не была приоритетом именно производителей промышленного оборудования, в частности, различного рода станков и установок. Внедрение средств защиты всегда осложнялось тем, что защищаемые активы не имели поддержки современных протоколов шифрования, аутентификации и т.д. Ранее производители оборудования не уделяли большого внимания ИБ. В последнее время это изменилось, и мы надеемся, что позитивный тренд продолжится, и это значительно облегчит интеграцию СЗИ в промышленные сети».