АСУ ТП: все грани защиты
Как достичь баланса между встроенными и наложенными средствами защиты АСУ ТП - стало предметом обсуждения на конференции "Встроенные средства кибербезопасности АСУ ТП", которая прошла на онлайн-площадке AM Live. Большинство ее участников занимаются данной тематикой уже как минимум 10 лет, еще до принятия закона 187-ФЗ.
Однако большинство вендоров начали принимать меры по защите своих комплексов еще раньше. По оценке руководителя направлений защиты АСУ ТП и КИИ интегратора "Инфосистемы Джет" Александра Карпенко, основные вендоры включили как минимум средства межсетевого экранирования на рубеже 1990-х и 2000-х, когда задача обеспечения кибербезопасности еще не ставилась. А в настоящее время, при условии применения комплекса организационных мер, с помощью встроенных средств вполне можно добиться полного соответствия нормам 187-ФЗ без использования сторонних программных и аппаратных средств защиты информации (СЗИ). Менеджер продуктов "ИнфоТеКС" Алексей Власенко назвал основной проблемой не отсутствие встроенных средств защиты, а их неправильную настройку - например, использование заводских паролей.
Руководитель отдела сетевых решений и средств защиты информационной безопасности "Иокогава Электрик СНГ" Илья Мухин разделил встроенные средства защиты в современных АСУ ТП на две категории, которые решают разные задачи - сохранение конфигураций оборудования на момент окончания пусконаладочных работ, а также средства контроля и управления доступом в соответствии с ролевой моделью, построенной на основе корпоративной иерархии у заказчика. Также, как напомнил Илья Мухин, АСУ ТП функционирует в изолированном сетевом сегменте, где к тому же часто используются проприетарные протоколы, подключение к которым требует труднодоступного оборудования. Это уже является гарантией от многих видов атак, но, как показал пример Stuxnet, не для всех. При этом работа зловреда долгое время оставалась незаметной для операторов.
Вопросы защиты, как отметил руководитель экспертного центра по промышленной кибербезопасности "Лаборатории Касперского" Антон Шипулин, пытались регулировать на отраслевом и национальном уровне, но безуспешно. Ситуацию изменило появление стандартов, например группы 62.443, которые регламентируют требования к комплексам АСУ ТП. Их успешно адаптируют под национальную специфику, в том числе и российскую.
Среди международных вендоров участники встречи наиболее высоко оценили подход Honeywell, Emerson, Yokogawa Electric и Siemens. Они практически полностью отказались от устаревших уязвимых протоколов и имеют ресурсы, чего часто нет у других компаний. Также у этих компаний хороший уровень поддержки в России. А вот российские вендоры, по мнению экспертов, пока уделяют недостаточно внимания кибербезопасности своих решений. При этом, как напомнил менеджер по продвижению технологий информационной безопасности Cisco Игорь Гиркин, именно отечественные системы доминируют в такой области, как электроэнергетика.
Как подчеркнул Илья Мухин, встроенные средства могут быть недостаточно гибкими. Например, можно только полностью запретить использование USB-накопителей, никаких исключений для каких-то доверенных устройств не предусмотрено. Также, по его словам, применение далеко не всех встроенных средств защиты позволяет добиться соответствия требованиям 239-го приказа ФСТЭК. В итоге без использования внешних средств от сторонних разработчиков часто не обойтись. Соответственно, встает задача по организации такого взаимодействия, с чем часто возникают сложности у вендоров как АСУ ТП, так и средств защиты.
Руководитель направления по защите производственных систем "Северсталь Менеджмент" Сергей Повышев оценил долю зарубежных комплексов АСУ ТП, которые находятся в эксплуатации в его компании, на уровне 95%. Из них 80% приходятся на оборудование от Siemens, причем 75% из этих 80% уже устарели. Главная сложность связана с неудобством средств мониторинга и управления. Средства, которые предлагает вендор, связаны с использованием облачных сервисов, что прямо противоречит 187-ФЗ. Российские вендоры идут навстречу потенциальным заказчикам, но уровень защиты там в целом слабее, как и общий уровень зрелости. Однако российские решения IIoT вполне конкурентоспособны, в том числе в плане безопасности. В итоге приходится использовать наложенные средства.
По оценке Александра Карпенко, 70% средств защиты входят в стоимость комплекса АСУ ТП, но остальные 30% поставляются за дополнительную плату, иногда довольно значительную. Положение осложняет еще и то, что компаниям часто приходится дотягивать свой уровень кибербезопасности промышленных систем с очень низкого до того, который требует законодательство по защите критической информационной инфраструктуры (КИИ). Однако правильное бюджетирование позволяет снизить эти затраты до приемлемого уровня. Тут, как отметил Илья Мухин, нужно обращать внимание бизнеса на плюсы, которые дает повышение уровня кибербезопасности, - например, на повышение управляемости комплексов, а не только на соблюдение требований по защите КИИ. Хотя, как напомнил Алексей Власенко, интерес бизнеса к кибербезопасности резко повышается после серьезных инцидентов. Даже на предприятиях, которые не подпадают под законодательство о КИИ.
Илья Мухин обратил внимание, что заказчик предпочитает использовать средства защиты, которые ему знакомы. И многие вендоры идут навстречу заказчикам. Yokogawa Electric, например, имеет опыт использования популярных антивирусных средств на многих локальных рынках. Был даже опыт портирования ПО для АРМ на Linux, но от него отказались. Хотя ситуация уже через несколько лет может измениться, в том числе и на российском рынке. Александр Карпенко поделился своими наблюдениями: вендоры АСУ ТП идут на это охотнее, если сторонний продукт решает свои задачи лучше, чем модуль, который они применяют.
С другой стороны, как предупредил Игорь Гиркин, заказчики часто склонны перекладывать свои риски на вендора. По мнению Алексея Власенко, доля вины вендора за инцидент минимальна. Обычно источником проблемы является тот, кто проводил пусконаладочные работы. Сергей Повышев поделился своим опытом. В "Северстали" есть целый "прейскурант" штрафных санкций для подрядчиков на стадии работ по проектам внедрения, но если инцидент произошел на стадии эксплуатации, то вина ложится на тех, кто оборудование эксплуатирует.
В России уже несколько лет реализуется программа импортозамещения. Также меры, принимаемые в рамках законодательства по защите КИИ, требуют использования сертифицированных средств. Тем не менее уровень кибербезопасности российского оборудования и ПО для АСУ ТП довольно низок. По оценке Антона Шипулина, во многом это связано с тем, что для попадания в Реестр российского ПО наличие средств безопасности для комплексов АСУ ТП не является обязательным. По наблюдениям Александра Карпенко, именно по этой причине российские системы часто используются на второстепенных участках.
Как отметил Илья Мухин, российское законодательство требует использования для защиты комплексов АСУ ТП российских СЗИ. И оборудование от Yokogawa Electric позволяет их использовать. Что касается возможности применения российских операционных систем, то пока такая задача не ставится, хотя уже в ближайшей перспективе все может измениться. Тем более, в компании был опыт портирования ПО под Linux-платформы. По словам Игоря Гиркина, значительная часть систем от Cisco, которые поставляются в виде образов виртуальных машин, поддерживают и российские системы.
Но в целом процесс импортозамещения очень сложен. По оценке Антона Шипулина, тут очень велик риск, что некоторые вендоры могут уйти с российского рынка, если сочтут его размер слишком малым, а затраты на соответствие нормам регуляторов - слишком большими.