08 февраля 2016

Миссиоцентрический подход к кибербезопасности АСУ ТП

Сергей Гордейчик

На мой взгляд, эта неопределенность затрудняет развитие кибербезопасности АСУ ТП как дисциплины и не способствует устранению непонимания между специалистами АСУ, РЗА, метрологами и теми, кто пытается эти системы защищать, используя привычный методический аппарат ИТ и информационной безопасности. С этим непониманием нам приходится сталкиваться практически в каждой работе по анализу или повышению защищенности систем АСУ ТП. Специалисты по АСУ, которые теоретически являются заказчиками данных работ, просто не понимают их целей, не могут понять результатов. С другой стороны, ИБ-профессионалы часто тоже не в состоянии оценить влияние выявленных уязвимостей на автоматизированный процесс и ответить на вопрос: «Ну и что из этого?», часто звучащий на защите проекта.


Для борьбы с этой проблемой мы используем миссиоцентрический подход к кибербезопасности АСУ ТП. Термин «миссиоцентрический» используется военными НАТО для подхода к планированию «сверху вниз», через призму цели или миссии, для которой планируется операция или создается информационная система (см. Gabriel Jakobson, Mission-Centricity in Cyber Security: Architecting Cyber Attack Resilient Missions). В рамках этого подхода предлагается рассматривать вопрос кибербезопасности, используя методический аппарат дисциплин промышленной безопасности, функциональной безопасности и надёжности и информационной безопасности.


Рис.1. Суть миссиоцентрического подхода

Это позволяет определить кибербезопасность АСУ ТП как процесс обеспечения функционирования АСУ ТП, при котором отсутствуют опасные отказы и недопустимый ущерб, обеспечивается заданный уровень экономической эффективности, функциональной безопасности и надежности с учетом вероятности целенаправленного негативного антропогенного информационного воздействия на компоненты АСУ ТП.


Важным моментом здесь является учет антропогенных угроз или целенаправленных атак. Дело в том, что стандарты и методики функциональной безопасности и надежности, например, IEC 61850, данный вопрос не рассматривают, учитывая только технические факторы и ошибки оператора.


Такой подход позволяет выделить три основных класса угроз кибербезопасности АСУ ТП:
Нарушение промышленной безопасности: реализация угроз непосредственно влияет на промышленную безопасность, может являться причиной техногенной катастрофы.
Снижение эффективности производственного процесса: реализация угроз явно снижает количественные экономические показатели процесса, автоматизируемого с помощью АСУ ТП.
Другие нарушения функциональной безопасности и надежности: реализация угроз непосредственно не влияет на промышленную безопасность и оказывает косвенное влияние на качественные или количественные показатели эффективности, надежности и безопасности (SIL, наработка на отказ и т.д.).


Что это дает на практике? Такой подход позволяет достаточно просто анализировать угрозы и уязвимости информационной системы не в контексте обеспечения целостности, доступности и конфиденциальности, но в терминах предметной области, для автоматизации которой используется АСУ. Как правило, вопросы промышленной безопасности, экономической эффективности и надежности в конкретной индустрии прекрасно проработаны и закреплены в соответствующих документах, таких как ПТЭ.


Причем эти документы, что называется, «написаны кровью», и любой специалист, даже если его разбудить посреди ночи, без запинки ответит на вопрос: «За какие ситуации ты, твой начальник и твои подчиненные будут привлечены к уголовной или административной ответственности, уволены или получат выговор?». Как правило, ответы на эти вопросы напрямую коррелируют с требованиями нормативных документов.


Следующим этапом несложно, используя методический аппарат моделирования угроз, спроецировать возможность «перепрошивки» программы контроллера РЗА или перезагрузки АРМ энергодиспетчера на требования промышленной безопасности, экономической эффективности и надежности, выдвигаемые к данному классу систем.


Приведенный подход может использоваться не только для анализа угроз и уязвимостей, но и для определения эффективности средств защиты. Так, использование привычного для ИТ подхода установки обновлений безопасности на АРМ под управлением ОС Windows приводит к снижению среднего времени наработки на отказ до одного месяца, что соответствует периоду выпуска обновлений компании Microsoft. Т. е. в данном случае выявлено негативное влияние процедур безопасности на надежность системы.


Еще момент, на котором хотелось бы заострить внимание в сегодняшней колонке – это отсутствие комплексного взгляда на проблему. Например, сейчас в контексте кибербезопасности цифровых подстанций идет бурное обсуждение протоколов стандарта МЭК 61850. И это действительно важная тема, поскольку системы, поддерживающие этот протокол, можно встретить в Интернете, и текущая реализация MMS и GOOSE не выдерживает никакой критики с точки зрения защиты, что прекрасно продемонстрировал Максим Никандров в своем докладе на Positive Hack Days.


Рис. 2. Карта распространенности систем МЭК 60870-104 в Интернет

Однако проблема кибербезопасности «интеллектуальных энергосистем» или Smart Grid гораздо шире. В нашем докладе на конференции Chaos Communication Congress (декабрь 2014 г., Гамбург, Германия) было продемонстрировано, как злоумышленник, действуя из сети Интернет, может получить доступ более чем к 150000 систем малой генерации солнечной и ветроэнергетики, генерирующих (усреднено) около 8 ГВт мощности. При этом не использовались никакие специфические для электроэнергетики протоколы: веб-технологии и связанные уязвимости (SQL injection, Inefficient Authentication), протоколы удаленного управления, «вшитые» пароли. При этом многие системы интегрированы в «умные электросчетчики» и, по сути, являются частью системы управления Smart Grid.


Рис. 3. 80000 регистраторов Sunny Webbox доступных из Интернет

В ходе обсуждения один из германских специалистов по энергетике заметил, цитирую: «Текущий резерв мощности в энергосетях Европы составляет 3 ГВт. Достаточно изъять (или добавить) 3 ГВт мощности на несколько секунд, и свет потухнет. Потухнет надолго». То есть «простые» атаки на «маленькие» системы могут привести к очень и очень серьезным последствиям.

В связи с этим хотелось бы обратить внимание на подход, изложенный в документе NISTIR 7628 Revision 1 «Guidelines for Smart Grid Cybersecurity», в рамках которого вопросы кибербезопасности нужно рассматривать на всех уровнях, включая защиту потребителей и различных поставщиков услуг, таких как ИТ-компании и провайдеры связи.

Миссиоцентрический подход к кибербезопасности АСУ ТП