Журнал "Директор по безопасности" Апрель 2020 | Page 7
ФИЛОСОФИЯ ЗАЩИТЫ
(Настоящая статья написана на основе
практического опыта автора статьи)
КИИ субъекта
энергосистемы.
Возможно ли
обеспечить реальную
информационную
безопасность
АСУ ТП ТЭЦ?
АЛЕКСАНДР ДРУК,
инженер по информационной
безопасности, компания
АО «Кросс Технолоджис»
Г
енерирующие объекты энергоси-
стемы являются объектами ин-
формационных атак и могут быть
уязвимыми с точки зрения информаци-
онной безопасности (ИБ). Это, в первую
очередь, связано со сложностью техно-
логических процессов, используемых
для получения электроэнергии. Обеспе-
чение непрерывности технологических
процессов достигается использованием
автоматизированных систем управле-
ния технологическими процессами (АСУ
ТП), слаженной работой различных
служб предприятия и немалым количе-
ством обслуживающего персонала.
Постараемся провести объективный
анализ мероприятий по обеспечению
ИБ АСУ ТП которые используются на
большинстве генерирующих объектов
энергетики, таких как городская теплоэ-
лектроцентраль (ТЭЦ).
Для понимания причин возникно-
вения проблематики обеспечения ИБ
на ТЭЦ обратимся к истории возникно-
вения и эксплуатации таких объектов.
Большинство ныне работающих ТЭЦ
строились во времена СССР. АСУ ТП ре-
ализовывались на отечественной про-
граммно-аппаратной базе. Подсистема
защиты АСУ ТП не создавалась – на тот
момент времени безопасность обеспе-
чивалась на уровне физической изоля-
ции АСУ ТП и организационно-распоря-
дительных документов.
В 2000-е был запущен процесс мас-
штабной модернизации устаревших
объектов генерации. В первую очередь
обновлялось газовое оборудование, ме-
нялись устаревшие системы АСУ ТП, но
данные процессы не затрагивали в сво-
ей массе процессы и средства защиты
информации.
Появление Федерального закона
№ 187 (187-ФЗ) заставило субъектов
энергетики пересмотреть подходы и
принципы к обеспечению безопасности
объектов критической инфраструктуры.
Последствия нарушения работы ТЭЦ
могут привести к прекращению снаб-
жения потребителей энергоресурсами
и зачастую носят межмуниципальный
характер. Согласно 187-ФЗ, АСУ ТП ТЭЦ
относятся к критической информацион-
ной инфраструктуре (КИИ) и требуют
обязательной защиты.
Постановление Правительства
№ 127 и приказы № 235, № 239 ФСТЭК
РФ дополняют 187-ФЗ и регламентируют
обеспечение ИБ создаваемого объекта
КИИ. К сожалению, указанные докумен-
ты только предъявляют требования и
не содержат методических указаний для
субъектов по модернизации существу-
ющих АСУ ТП в части реализации меха-
низмов или внедрения средств защиты
информации.
Перечислим необходимые работы
для обеспечения защиты АСУ ТП как
объекта КИИ:
1. Проведение независимого аудита
систем АСУ ТП, включающего в себя:
изучение и оценка действующих
организационных мер по защите инфор-
мации;
анализ политик и концепций по за-
щите информации;
анализ документов, регламентиру-
ющих использование средств и методов
защиты информации;
анализ организационной структуры
обслуживающего персонала и должност-
ных инструкций;
анализ перечня ответственных лиц
и их функциональных обязанностей;
анализ действий при внештатных
ситуациях, процедуры восстановления
работоспособности системы;
анализ процедур учета оборудова-
ния и программного обеспечения;
анализ механизмов отключения от
рабочего контура, обмена оборудования
и программного обеспечения при выво-
де на ремонт;
анализ регламента назначения прав
доступа.
2. Разработка модели угроз и модели
нарушителя:
определение перечня угроз безопас-
ности,
определение вероятности осущест-
вления каждой из угроз,
оценка актуальности угроз безопас-
ности,
анализ эффективности существую-
щих и имеющихся в распоряжении Заказ-
чика мер и средств защиты информации,
оценка возможностей физического
доступа к объектам АСУ ТП;
выявление возможных технических
каналов утечки информации.
3. Проектирование системы защиты
информации;
4. Внедрение средств защиты инфор-
мации (ЗИ):
поставку технических средств за-
щиты информации,
установку и настройку средств за-
щиты информации,
предварительные испытания систе-
мы защиты АСУ ТП и передача в опыт-
ную эксплуатацию системы защиты ин-
формации,
передача системы защиты инфор-
мации АСУ ТП в промышленную эксплу-
атацию.
5. Разработка организационно-рас-
порядительных документов:
отдельные меры защиты информа-
ции в АСУ в рамках ее системы защиты,
планирование мероприятий по обе-
спечению защиты информации в АСУ,
обеспечение действий в нештатных
(непредвиденных) ситуациях в ходе экс-
плуатации АСУ,
информирование и обучение персо-
нала СЗ АСУ,
анализ угроз безопасности инфор-
мации в АСУ и рисков от их реализации,
управление (администрирование)
СЗ АСУ,
выявление инцидентов (одного со-
бытия или группы событий), которые
могут привести к сбоям или нарушению
функционирования АСУ и (или) к воз-
никновению угроз безопасности инфор-
мации и реагирования на них;
управление конфигурацией АСУ и
ее системы защиты;
контроль (мониторинг) за обеспе-
чением уровня защищенности АСУ;
защиту информации при выводе из
эксплуатации АСУ.
Приведем наиболее распространен-
ные меры, применяемые для защиты ин-
формации в АСУ ТП на ТЭЦ:
АСУ ТП функционирует в изолиро-
ванном контуре инфраструктуры;
для взаимодействия с сетью пред-
приятия создается демилитаризованная
зона (ДМЗ),
доступ к интерфейсам ввода-вывода
блокируется,
ограничивается физический доступ
к оборудованию,
на рабочие места оператора АСУ
ТП и администратора, дежурного смены
устанавливается антивирус,
устанавливается сканер уязвимо-
стей (в виде агента) на АРМы,
устанавливается пароль на BIOS,
запрещается загрузка с альтерна-
тивных носителей,
на базе средств операционной си-
стемы реализуется управление правами
доступа пользователей,
ограничиваются права пользовате-
лей системы АСУ ТП встроенными сред-
ствами самой системы.
Большинство ныне
работающих ТЭЦ строились
во времена СССР. АСУ ТП
реализовывались на
отечественной программно-
аппаратной базе. Подсистема
защиты АСУ ТП не
создавалась – на тот момент
времени безопасность
обеспечивалась на уровне
физической изоляции
АСУ ТП и организационно-
распорядительных документов
Для понимания насколько АСУ ТП
ТЭЦ защищены в части ИБ предлагаем
рассмотреть реальные угрозы и вызовы,
с которыми могут столкнуться специ-
алисты ИБ на таких объектах с учетом
использования нового технологическо-
го уклада (технологий). Для этого бу-
дем использовать банк данных угроз ИБ
ФСТЭК России. Описание угроз безопас-
ности информации (УБИ), актуальных
для АСУ ТП приведен ниже в таблице.
№
УБИ
Название
угрозы
Источник
угрозы
006 Угроза внедрения
кода или данных Внешний
нарушитель с
низким
потенциалом
012 Угроза
деструктивного
изменения
конфигурации/среды
окружения программ Внутренний
нарушитель
с низким
потенциалом
Угроза избыточного
выделения
оперативной памяти Внешний нарушитель
с низким
потенциалом,
Внутренний
нарушитель
с низким
потенциалом
022
023
030
086
089
090
091
093
100
121
124
145
152
155
162
170
176
Объект
воздействия
Системное программное
обеспечение,
прикладное программное
обеспечение,
сетевое программное
обеспечение
Системное программное
обеспечение,
прикладное программное
обеспечение,
сетевое программное
обеспечение,
микропрограммное
обеспечение, метаданные,
объекты файловой системы,
реестр
Аппаратное обеспечение,
системное программное
обеспечение, сетевое
программное обеспечение
Информационная система,
сервер, рабочая станция,
Угроза изменения
виртуальная машина,
компонентов
системное программное
системы
обеспечение, прикладное
программное обеспечение,
аппаратное обеспечение
Средства защиты
информации,
Угроза использования Внешний нарушитель системное программное
информации
со средним
обеспечение, сетевое
идентификации/
потенциалом.
программное обеспечение,
аутентификации,
Внутренний
микропрограммное
заданной по
нарушитель с низким обеспечение, программно-
умолчанию
потенциалом
аппаратные средства со
встроенными функциями
защиты
Внешний нарушитель
Угроза
с низким
Системное программное
несанкционирован-
потенциалом.
обеспечение,
ного изменения
Внутренний
объекты файловой
аутентификационной нарушитель
системы, учётные данные
информации
с низким
пользователя, реестр
потенциалом
Внешний
нарушитель с
Угроза
низким
Системное программное
несанкционирован-
потенциалом.
обеспечение,
ного редактирования Внутренний
использующее реестр, реестр
реестра
нарушитель
с низким
потенциалом
Внешний
нарушитель с
Угроза
низким
несанкционирован-
потенциалом.
Системное программное
ного создания
Внутренний
обеспечение
учетной записи
нарушитель
пользователя
с низким
потенциалом
Внешний
нарушитель с
Угроза
низким
несанкционирован-
потенциалом.
Метаданные, объекты
ного удаления
Внутренний
файловой системы, реестр
защищаемой
нарушитель
информации
с низким
потенциалом
Внешний
нарушитель с
Системное программное
Угроза
низким
обеспечение,
несанкционирован-
потенциалом.
прикладное программное
ного управления
Внутренний
обеспечение,
буфером
нарушитель
сетевое программное
с низким
обеспечение
потенциалом
Внешний
нарушитель с
Угроза обхода
низким
Системное программное
некорректно
потенциалом.
обеспечение,
настроенных
Внутренний
сетевое программное
механизмов
нарушитель
обеспечение
аутентификации
с низким
потенциалом
Внешний
нарушитель с
низким
Угроза повреждения потенциалом.
Объекты файловой системы,
системного реестра
Внутренний
реестр
нарушитель
с низким
потенциалом
Внешний
нарушитель с
Угроза подделки
низким
записей журнала
потенциалом.
Системное программное
регистрации
Внутренний
обеспечение
событий
нарушитель
с низким
потенциалом
Внутренний
нарушитель
с низким
потенциалом
Почему угроза
актуальна
Отсутствуют актуальные
обновления антивируса.
Отсутствует подсистема
обнаружения вторжения
Отсутствует подсистема
обнаружения вторжения
Отсутствуют актуальные
обновления антивируса
Отсутствие встроенного
контроля версионности
прикладного программного
обеспечения. Отсутствует
подсистема обнаружения
вторжения
Отсутствует подсистема
доверенной загрузки
Отсутствует подсистема
доверенной загрузки
Отсутствие подсистемы
доверенной загрузки
Отсутствие подсистемы
доверенной загрузки
Отсутствуют актуальные
обновления сканера
уязвимостей
Отсутствие подсистемы
доверенной загрузки
Отсутствует подсистема
доверенной загрузки
Отсутствует подсистема
доверенной загрузки
Отсутствует подсистема
доверенной загрузки.
Отсутствует подсистемы
защиты журналов
прикладного
программного
обеспечения
Угроза пропуска
проверки
целостности
программного
обеспечения Внешний
нарушитель с
низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом Системное программное
обеспечение,
прикладное программное
обеспечение,
сетевое программное
обеспечение Отсутствует подсистема
доверенной
загрузки. Отсутствует
встроенная подсистема
верификации
компонентов
прикладного
программного
обеспечения
Угроза удаления
аутентификацион-
ной информации Внешний
нарушитель с
низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом Системное программное
обеспечение,
микропрограммное
обеспечение,
учетные данные
пользователя Отсутствует подсистема
доверенной загрузки
Угроза утраты
вычислительных
ресурсов Внешний нарушитель
с низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом Информационная система,
сетевой узел,
носитель информации,
системное программное
обеспечение, сетевое
программное
обеспечение, сетевой
трафик Отсутствует подсистема
доверенной загрузки
Угроза эксплуатации
цифровой подписи
программного кода Внешний
нарушитель с
низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом Системное программное
обеспечение, прикладное
программное обеспечение Внешний
нарушитель с
низким
потенциалом Объект файловой системы Внешний
нарушитель с
низким
потенциалом Средство защиты
информации Отсутствие тестовой
зоны
Внутренний
нарушитель
с низким
потенциалом Системное программное
обеспечение,
сетевое программное
обеспечение,
прикладное программное
обеспечение,
аппаратное обеспечение Отсутствие контроля
ввода данных на уровне
прикладного ПО
Системное программное
обеспечение Отсутствует подсистема
обнаружения вторжения
Объекты файловой системы Отсутствует подсистема
доверенной загрузки
Средство защиты
информации Отсутствует подсистема
доверенной загрузки.
После проведения
пусконаладочных работ
пароли не изменены
Прикладное программное
обеспечение,
сетевое программное
обеспечение,
системное программное
обеспечение Отсутствие тестовой
зоны
Прикладное программное
обеспечение,
сетевое программное
обеспечение,
системное программное
обеспечение Отсутствие тестовой
зоны.
Отсутствие обновлений
прикладного
программного
обеспечения
Угроза
неправомерного
шифрования
информации
Угроза нарушения
технологического/
производственного
процесса из-за
временных задержек,
вносимых средством
защиты
177 Угроза
неподтвержденного
ввода данных
оператором в
систему, связанную с
безопасностью
178 Угроза
несанкционирован-
ного использования
системных и
сетевых утилит
179 Угроза
несанкционирован-
ной
модификации
защищаемой
информации
185 Угроза
несанкционирован-
ного изменения
параметров
настройки средств
защиты информации
191 Угроза внедрения
вредоносного кода
в дистрибутив
программного
обеспечения
192 Угроза
использования
уязвимых версий
программного
обеспечения
Внешний нарушитель
с низким
потенциалом,
Внутренний
нарушитель
с низким
потенциалом
Внешний
нарушитель с
низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом
Внешний
нарушитель с
низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом
Внешний нарушитель
с низким
потенциалом,
Внутренний
нарушитель
с низким
потенциалом
Внешний нарушитель
с низким
потенциалом.
Внутренний
нарушитель
с низким
потенциалом
Отсутствует подсистема
доверенной загрузки.
Отсутствует встроенная
подсистема
верификации
компонентов
прикладного
программного
обеспечения
Отсутствуют актуальные
обновления антивируса.
Отсутствует подсистема
обнаружения вторжения
Приведенные угрозы показывают
необходимость дополнения корпоратив-
ных практик следующими подсистема-
ми защиты информации:
Подсистема обнаружения вторжения.
Ее наличие необходимо для ограничения
ущерба от действий атакующего после
преодоления защищенного периметра;
Подсистема доверенной загрузки.
Отсутствие данной подсистемы позволя-
ет эксплуатировать уязвимости ОС при
авторизации средствами ОС.
Для минимизации УБИ современные
средства автоматизации должны иметь
в наличии следующие подсистемы ЗИ:
Подсистему контроля версионности
прикладного программного обеспече-
ния. Отсутствие данного функционала
позволяет вредоносному ПО незаметно
распространяться по информационным
системам выводя из строя все узлы, ис-
пользуемые в АСУ ТП;
Подсистему защиты журналов при-
кладного программного обеспечения.
Информация о действиях пользователя в
системе хранится в незащищенном виде,
что позволяет легко ее модифицировать.
При проектировании или модерни-
зации АСУ ТП необходимо создавать те-
стовую зону. Ее отсутствие на практике
может приводить к невозможности без-
опасного обновления прикладного ПО
и средств защиты информации. Также
отсутствие тестовой зоны приводит к не-
своевременному обновлению баз средств
ЗИ. Обновления производятся в периоды
технологических пауз, что значительно
снижает эффективность антивирусных
программ и сканеров уязвимости.
Для полноты картины приведем пе-
речень требуемых мер для защиты наи-
более уязвимых мест АСУ ТП:
Наиболее распространенные ошибки
и нарушения:
отсутствует защищенных каналов
обмена информацией между компонен-
тами АСУ ТП на уровне АСУ ТП,
наличие административных прав на
АРМ инженера,
отсутствие системы однонаправлен-
ной передачи данных перед ДМЗ,
некорректная настройка межсете-
вого экрана,
совмещение нескольких АСУ ТП,
совмещение контура АСУ ТП с се-
тью предприятия,
отсутствие защиты информацион-
ных каналов связи удаленных АРМ,
передача технологической инфор-
мации без использования защиты ин-
формационных каналов связи через сеть
Internet.
Наименование уязвимого
компонента системы
Требуемые меры
Контроллерный уровень АСУ ТП -Сегментирование сети;
-резервирование информационных каналов;
-реализация защищенных каналов обмена информа-
цией между компонентами АСУ ТП.
АРМ инженера -Подсистема доверенной загрузки;
-актуальные обновления антивируса;
-актуальные обновления сканера уязвимостей.
Демилитаризованная зона (ДМЗ) -Системы однонаправленной передачи данных;
-настройка и последующая проверка корректности
работоспособности межсетевых экранов.
Расчетная станция в сети предприятия -Подсистема доверенной загрузки;
-актуальные обновления антивируса;
-актуальные обновления сканера уязвимостей;
-применения программно-аппаратных средств для
защиты информационных каналов связи с удаленными
АРМ АСУ ТП.
АРМ диспетчера -Применения программно-аппаратных средств для
защиты информационных каналов связи с удаленными
АРМ АСУ ТП
Выводы
Принятие 187-ФЗ и сопутствующих доку-
ментов значительно ужесточило подход к
обеспечению безопасности на ТЭЦ.
Применяемые программно-аппарат-
ные комплексы АСУ ТП не имеют встро-
енной подсистемы защиты информации
или данная подсистема не эффективна
для современных угроз ИБ.
Защита АСУ ТП в части ИБ сводится к
использованию наложенных средств ЗИ
согласно межотраслевым и внутрикорпо-
ративным стандартам и практикам.
Отсутствие тестовой зоны объекта
КИИ значительно снижает уровень за-
щищенности АСУ ТП.
Перечень используемых средств ЗИ,
применяемых на ТЭЦ, недостаточен для
обеспечения требуемого уровня безо-
пасности АСУ ТП ТЭЦ как объекта КИИ.
Для обеспечения требуемого уровня
защищенности АСУ ТП необходимо ис-
пользование комплексного подхода в за-
щите объекта КИИ:
внешний аудит систем АСУ ТП,
разработка модели угроз и модели
нарушителя,
проектирование средств ЗИ,
внедрение средств ЗИ,
разработка организационно-распо-
рядительных документов.