Сергей Гордейчик
Для борьбы с этой проблемой мы используем миссиоцентрический подход к кибербезопасности АСУ ТП. Термин «миссиоцентрический» используется военными НАТО для подхода к планированию «сверху вниз», через призму цели или миссии, для которой планируется операция или создается информационная система (см. Gabriel Jakobson, Mission-Centricity in Cyber Security: Architecting Cyber Attack Resilient Missions). В рамках этого подхода предлагается рассматривать вопрос кибербезопасности, используя методический аппарат дисциплин промышленной безопасности, функциональной безопасности и надёжности и информационной безопасности.
Рис.1. Суть миссиоцентрического подхода
Это позволяет определить кибербезопасность АСУ ТП как процесс обеспечения функционирования АСУ ТП, при котором отсутствуют опасные отказы и недопустимый ущерб, обеспечивается заданный уровень экономической эффективности, функциональной безопасности и надежности с учетом вероятности целенаправленного негативного антропогенного информационного воздействия на компоненты АСУ ТП.
Важным моментом здесь является учет антропогенных угроз или целенаправленных атак. Дело в том, что стандарты и методики функциональной безопасности и надежности, например, IEC 61850, данный вопрос не рассматривают, учитывая только технические факторы и ошибки оператора.
Такой подход позволяет выделить три основных класса угроз кибербезопасности АСУ ТП:
Нарушение промышленной безопасности: реализация угроз непосредственно влияет на промышленную безопасность, может являться причиной техногенной катастрофы.
Снижение эффективности производственного процесса: реализация угроз явно снижает количественные экономические показатели процесса, автоматизируемого с помощью АСУ ТП.
Другие нарушения функциональной безопасности и надежности: реализация угроз непосредственно не влияет на промышленную безопасность и оказывает косвенное влияние на качественные или количественные показатели эффективности, надежности и безопасности (SIL, наработка на отказ и т.д.).
Что это дает на практике? Такой подход позволяет достаточно просто анализировать угрозы и уязвимости информационной системы не в контексте обеспечения целостности, доступности и конфиденциальности, но в терминах предметной области, для автоматизации которой используется АСУ. Как правило, вопросы промышленной безопасности, экономической эффективности и надежности в конкретной индустрии прекрасно проработаны и закреплены в соответствующих документах, таких как ПТЭ.
Причем эти документы, что называется, «написаны кровью», и любой специалист, даже если его разбудить посреди ночи, без запинки ответит на вопрос: «За какие ситуации ты, твой начальник и твои подчиненные будут привлечены к уголовной или административной ответственности, уволены или получат выговор?». Как правило, ответы на эти вопросы напрямую коррелируют с требованиями нормативных документов.
Следующим этапом несложно, используя методический аппарат моделирования угроз, спроецировать возможность «перепрошивки» программы контроллера РЗА или перезагрузки АРМ энергодиспетчера на требования промышленной безопасности, экономической эффективности и надежности, выдвигаемые к данному классу систем.
Приведенный подход может использоваться не только для анализа угроз и уязвимостей, но и для определения эффективности средств защиты. Так, использование привычного для ИТ подхода установки обновлений безопасности на АРМ под управлением ОС Windows приводит к снижению среднего времени наработки на отказ до одного месяца, что соответствует периоду выпуска обновлений компании Microsoft. Т. е. в данном случае выявлено негативное влияние процедур безопасности на надежность системы.
Еще момент, на котором хотелось бы заострить внимание в сегодняшней колонке – это отсутствие комплексного взгляда на проблему. Например, сейчас в контексте кибербезопасности цифровых подстанций идет бурное обсуждение протоколов стандарта МЭК 61850. И это действительно важная тема, поскольку системы, поддерживающие этот протокол, можно встретить в Интернете, и текущая реализация MMS и GOOSE не выдерживает никакой критики с точки зрения защиты, что прекрасно продемонстрировал Максим Никандров в своем докладе на Positive Hack Days.
Рис. 2. Карта распространенности систем МЭК 60870-104 в Интернет
Однако проблема кибербезопасности «интеллектуальных энергосистем» или Smart Grid гораздо шире. В нашем докладе на конференции Chaos Communication Congress (декабрь 2014 г., Гамбург, Германия) было продемонстрировано, как злоумышленник, действуя из сети Интернет, может получить доступ более чем к 150000 систем малой генерации солнечной и ветроэнергетики, генерирующих (усреднено) около 8 ГВт мощности. При этом не использовались никакие специфические для электроэнергетики протоколы: веб-технологии и связанные уязвимости (SQL injection, Inefficient Authentication), протоколы удаленного управления, «вшитые» пароли. При этом многие системы интегрированы в «умные электросчетчики» и, по сути, являются частью системы управления Smart Grid.
Рис. 3. 80000 регистраторов Sunny Webbox доступных из Интернет
В ходе обсуждения один из германских специалистов по энергетике заметил, цитирую: «Текущий резерв мощности в энергосетях Европы составляет 3 ГВт. Достаточно изъять (или добавить) 3 ГВт мощности на несколько секунд, и свет потухнет. Потухнет надолго». То есть «простые» атаки на «маленькие» системы могут привести к очень и очень серьезным последствиям.
В связи с этим хотелось бы обратить внимание на подход, изложенный в документе NISTIR 7628 Revision 1 «Guidelines for Smart Grid Cybersecurity», в рамках которого вопросы кибербезопасности нужно рассматривать на всех уровнях, включая защиту потребителей и различных поставщиков услуг, таких как ИТ-компании и провайдеры связи.
Миссиоцентрический подход к кибербезопасности АСУ ТП
