По словам заведующего кафедрой Комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И. М. Губкина Александра Баранова, на фоне сложившейся практики аттестации АСУ ТП по ИБ одним их немногих выходов из трудной ситуации с аттестацией остается поэтапное повышение уровней ИБ, а также построение защиты кризисного режима на отечественной базе.
В своем докладе на Ключевой сессии «Прошлое, будущее и настоящее промышленной кибербезопасности в России» на Форуме «Кибербезопасность — наши дни. Промышленные технологии» Александр Баранов рассказал про кризисное управление технологическими процессами. В самом начале он затронул общие вопросы и определения систем управления, а также разобрал возможности их сертификации. Однако затем перешел к более практическим и насущным темам.
Общие проблемы сертификации систем
Для АСУ ТП конфиденциальность не является приоритетом, на первое место выходят целостность и доступность. «Сами понятия целостности и доступности трансформируются, в частности целостность, в данном случае, это отсутствие НДВ (не декларированных возможностей) и неизменность (фиксированность ПО) или контролируемая корректировка прикладного ПО», — пояснил Александр Баранов.
Кроме того, по его словам, с датчиками есть отдельные проблемы, поскольку сейчас практически все датчики иностранного производства, работающие в достаточно сложных физических условиях и при этом еще имеющие достаточно серьезную начинку в видео микросхем специального применения.
«Здесь хочется к регуляторам еще раз обратиться. И вообще в целом это проблема существует — требования по доступности со стороны регуляторов разработаны плохо, потому что ТИЭР, которые для ЦОДов разработаны, здесь не подходят. А дальше когда начинаешь про доступность говорить, сложно достаточно», — добавил спикер.
При этом аттестация на НДВ аппаратной части в случае импортных компонентов проблематична. Конечно, можно один датчик взять и разломать, но это даст только выборочную проверку.
Особенности сложившейся практики в аттестации АСУ ТП по ИБ
По словам Александра Баранова, он по этому поводу специально консультировался в разных организациях. И первая схема достаточно традиционна: блокирование угроз с помощью средств защиты информации, а дальше оценка эффективности защиты. Однако, как отметил эксперт, сейчас существует одна особенность — фактически эффективность защиты строится на основе сертификатов на отдельные элементы взаимодействия и их защиты. Но крупных блоков, которые были бы уже аттестованы, к сожалению, либо очень мало, либо практически нет.
В то же время, например, если операционка работает в режиме реального времени, то и средство защиты информации не может быть офлайном, оно должно быть тоже в режиме реального времени и срабатывать также быстро.
«И тогда возникает вопрос о встраивании средств защиты информации в саму операционку и аттестации тогда одного с другим сразу же. И это определенная трудность, потому что таких встраиваний может быть очень много, они зависят от особенностей технологического процесса и вот в этом разнообразии, на мой взгляд, и есть определенная трудность», — отметил Александр Баранов.
Выход есть?
По словам эксперта, единственный выход из данного положения — поэтапное повышение уровней ИБ. Начиная с того, что на первых этапах будет ранжирование и парирование только наиболее острых угроз. Затем, например, внешнее управление по общепринятым телекоммуникационным протоколам через шифраторы с обязательной инкапсуляцией пакетов. Следом будут организационные меры контролирующей зоны размещения ЛВС и контроль персонала, а потом — частичная проверка на НДВ доступного и наиболее чувствительного ПО. И так далее.
А что делать сейчас?
«Сейчас мы можем построить только защиту кризисного режима. Первоочередная задача — повышение устойчивости — построить наложенную, в дополнение к той, которая уже управляет система, другую систему, которая бы вовремя позволила выявить нарушение технологического процесса, выход его на кризисное состояние или на предкризисное состояние и вплоть до ручного отключения, чтобы предотвратить кризисное развитие ситуации», — поделился Александр Баранов.
При этом он отметил, что такую антикризисную защиту нужно строить на отечественной базе, потому что она будет более простая и потому что она будет решать достаточно простые задачи.
«А в качестве меры, чтобы всех заставить это сделать — надо в законодательном плане предложить рассмотреть вопрос о приостановлении страховки ТП для которых не проведена аттестация SCADA по вопросам ИБ. Без этого мы этот вопрос серьезно не сдвинем», — заключил Александр Баранов.