Базові рекомендації з кібербезпеки промислових систем керування для відділів АСУ ТП

Призначення: цей документ містить базові рекомендації від Групи «Кібер-безпека» Технічного комітету 185 щодо першочергових та необхідних заходів протидії кібер-атакам в АСУ ТП. 

Документ призначений в першу чергу для керівників АСУ ТП промислових підприємств та інших об’єктів критичної інфраструктури, але буде корисний також всім керівникам та спеціалістам, задіяних в заходах по кібер-безпеці підприємств.

Фактори вразливості в АСУ ТП. Головні тенденції.

В даний час в промислових системах керування спостерігаються дві тенденції: поступовий перехід засобів керування на стандарт Ethernet та протоколів TCP/IP і поява специфічного промислового шкідливого ПЗ, що атакує конкретні типи промислових систем керування. Ця тенденція в індустрії серйозно вплинула на пов’язаність процесів всередині систем керування в бік їх ускладнення. Побудова мереж АСУ ТП за принципом офісних мереж призвела до міграції вразливостей останніх в промисловий IT-контур. ПЛК та інші засоби керування польового рівня, разом з підключенням до Ethernet, стали відкриті до нових джерел загроз, на які їх розробники не розраховували. В результаті серйозно зросла кількість збоїв і простоїв обладнання через наслідки дії шкідливого ПЗ і кібератак. Це дві сторони однієї медалі. З одного боку, Ethernet-мережа, що пронизує собою наскрізь всі рівні підприємства, – це гнучкий і зручний інформаційний простір, що дозволяє вивести процеси автоматизації на новий рівень. З іншого боку, шкідливе ПЗ нового типу тепер може втрутитися в виробничий процес і нанести як великі матеріальні збитки діяльності самого підприємства, так і викликати катастрофічні наслідки з людськими жертвами.

шляхи проникнення шкідливого ПЗ в систему керування

Рис. 1 Можливі шляхи проникнення шкідливого ПЗ в систему керування

На відміну від ІТ безпеки, що фокусується на захисті даних від крадіжки (таких як номери кредитних карток, корпоративна інформація та ін.), головна мета заходів із кібер-безпеки системи керування – це підтримувати виробництво у робочому та безпечному стані. Основна загроза для обох цілей – це проникнення зловмисної програми до системи.

Зловмисне програмне забезпечення зазвичай інфікує систему через (рис. 1):

  • використання існуючих механізмів обміну для передачі файлів та віддаленного доступу до систем, наприклад надання загального доступу до файлів та протоколу передачі файлів (FTP);
  • відкриття користувачем файлів, або запуск программ, що виглядають надійними, але мають не бажане ПЗ всередені;
  • використання вразливостей у під’єднаному до мережі програмному забезпеченні, що дозволяє виконати вживляння зловмисного коду в систему;
  • автоматичне копіювання файлів з портативних медіа, таких як USB-накопичувачі, CD, DVD та мобільних телефонів, до системи.

Такі фактори, у свою чергу, вимагають від інженерного складу відділів АСУ ТП підприємств прийняття ряду першочергових заходів для зменшення ризику проникнення до системи керування технологічними процесами на підприємстві шкідливого ПЗ та мінімізації можливих збитків у разі такого проникнення.

Дані рекомендації містять правила, дотримуючись яких, персонал відділу АСУ ТП здатний до деякої міри впоратися з цим завданням. Наведено 11кроків, що їхякі потрібно пройти для захисту від цих загроз. Ці кроки запозичені із документів NIST, ISA 99 та інших стандартів з промислової кібербезпеки, що були інтегровані в один міжнародний стандарт МЕК 62443. Вони документують не тільки механізми кібербезпеки системи керування, але й вимоги до постачальника, що необхідні для посилення безпеки системи вже на об’єкті.

Наступні кроки виходять з піраміди автоматизації (рис. 2) та вкладаються у концепцію, за якої необхідний рівень безпеки не може бути досягнутий одним лише придбанням системи керування із необхідним набором функцій забезпечення кібербезпеки. Вона стверджує, що безпека це більше процес, ніж технологія. Ці кроки спрямовані не лише на захист від дій зловмисного програмного забезпечення, але й від інших ризиків, що загрожують промисловим системам керування. Ці кроки можна виконувати у еволюційному стилі, послідовно підсилюючи безпеку із часом.

Піраміда автоматизації згідно МЕК 62264

Рис. 2 Піраміда автоматизації згідно МЕК 62264

Крок № 1. Створення політик безпеки

Перш за все, необхідно упевнитись в існуванні політик безпеки для системи керування. Якщо вони відсутні для АСУ ТП їх можна запозичити з організаційних політик ІТ департаменту підприємства. Це буде перший крок на шляху до кібербезпеки ОТ. Ваші політики безпеки повинні будуть підтримувати кожен із наступних 10 кроків та бути спрямованими на захист Вашої системи від не авторизованого програмного забезпечення.

Крок № 2. Встановлення мережевих периметрів безпеки

Крок № 2 передбачає встановлення мережевих периметрів безпеки для обмеження точок доступу, де стороннє програмне забезпечення може увійти до системи керування. Як показано на піраміді автоматизації рис. 2, у типовій системі керування підприємством корпоративні мережі відносяться до рівня 3 та вище, у той час як SCADA, мережі систем керування та польові шини відносяться до рівня 2 та нижче.

Використання брандмауерів на рівнях піраміди автоматизації

Брандмауери використовуються для сегментації самої системи керування та ізоляції її від рівня 3 та інших зовнішніх мереж. Необхідно бути упевненим, що весь трафік від і до системи керування шифрований та проходить принаймні через один брандмауер. За жодних обставин робоча станція рівня 2 не може мати прямого доступу до Інтернету або мати “білу” IP-адресу що дозволяє їй бути безпосередньо досяжною із Інтернету.
У складі системи керування брандмауери також слід використовувати для захисту контролерів, промислових бездротових мереж та мереж обладнання із категорії систем керування функціонально-небезпечними об’єктами від робочих станцій рівня 2. Крім того, для попередження під’єднання сторонніх пристроїв до системи керування слід використовувати комутатори, що підтримують блокування портів. Ці брандмауери та комутатори разом із брандмауерами рівня 2 та рівня 3 створюють шари периметрів безпеки із найнижчим ступенем довіри до рівня 3 та найвищим – до рівня 0.
Компоненти, що не є такими критичними для досягнення необхідних рівнів безпеки та доступності, такі як сервери архівних даних, повинні бути встановлені на вищому рівні ієрархії із меншим рівнем безпеки але із більшими можливостями до доступу, щоб у персоналу була можливість для перегляду та редагування даних.
Коли брандмауери та комутатори вже встановлені, вони потребують обслуговування протягом всього життєвого циклу системи для підтримання їх ефективності. Правила брандмауерів повинні актуалізуватись згідно зі змінами у ІТ-обладнанні та обладнанні системи керування для захисту від нових загроз. Порти комутатора, що не використовуються, повинні регулярно перевірятися на предмет того, що вони заблоковані.

З повною версією цього документу можно ознайомитись за цім посиланням.

 

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *