Современные подходы к обеспечению информационной безопасности в АСУ ТП: практический подход НПО «Каскад-ГРУП»

Сегодня отрасль наверстывает упущенное, и построение защищенных АСУ ТП становится не просто рекомендацией, а строгим требованием, регламентированным государственными стандартами. Как разработчик с многолетним опытом создания SCADA-систем и решений для промышленной автоматизации, НПО «Каскад-ГРУП» сталкивается с запросами на комплексное обеспечение информационной безопасности (ИБ) на всех этапах жизненного цикла системы-от проектирования до эксплуатации.

Отправной точкой для многих промышленных предприятий стал Приказ ФСТЭК России №239 от 25.12.2017, который утвердил требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) РФ.

Особое внимание уделяется пункту 29.3, который регламентирует процессы безопасной разработки программного обеспечения, что является новым вызовом для вендеров. Именно этот приказ заставил многих осознать масштаб требований и начать системную работу в области информационной безопасности (ИБ).

Наши специалисты не только обеспечили соответствие SCADA-системы «КАСКАД» заданным требованиям, но и в процессе работ, накопили бесценный опыт создания защищённых АСУ ТП «под ключ».

Базовые принципы защиты АСУ ТП: наш фундаментальный подход

Прежде чем внедрять сложные системы мониторинга, мы помогаем заказчикам выстроить фундамент безопасности, основанный на наших практических наработках.

1. Сегментация сетей. Мы проектируем архитектуру с обязательным разделением технологического и корпоративного контуров, что предотвращает распространение угроз из офисной сети в критически важную технологическую среду.
2. Резервирование. Наши решения поддерживают горячее резервирование серверов, обеспечивая непрерывность технологического процесса даже при выходе из строя одного из узлов.
3. Строгий учет и контроль доступа. Мы интегрируем в наши системы механизмы аутентификации и авторизации клиентских автоматизированных рабочих мест (АРМ) по IP-/MAC-адресам, IMEI (для мобильных устройств) и использование сертификатов, что предотвращает несанкционированный доступ к системе управления.
4. Защита периметра с помощью DMZ. Помогаем выстраивать буферные зоны (DMZ — это буферная зона, для размещения веб-серверов и других сервисов, доступных извне) для безопасного размещения шлюзов и веб-серверов, через которые осуществляется обмен данными с корпоративной сетью. Попадание в DMZ не дает злоумышленнику прямого доступа во внутреннюю сеть предприятия.

Дополнительные меры для DMZ включают:

• Использование различных ОС на разных сторонах периметра. (например, внешний Windows против внутреннего Linux).
• Смена стандартных портов.
• Строгая настройка межсетевых экранов (Firewall) на входе и выходе из DMZ по принципу «запрещено все, что не разрешено»
5. Использование защищенной полевой сети. Применение защищенных протоколов передачи данных.
6. Построение оптического кольца для надежности ЛВС.

Обеспечение безопасности распределенных систем

Особую сложность представляют распределенные АСУ ТП, где связь с удаленными объектами (тепловые пункты, насосные станции и т.д.) часто осуществляется через каналы мобильной связи. Для их защиты применяется комплексный подход:

1. Инициативная передача данных. Поддержка протокола МЭК-60870-5-104 позволяет нашим системам работать по схеме, при которой контроллер на объекте сам инициирует соединение с центральным сервером. Это позволяет оставить IP-адрес объекта «серым» (за NAT), делая его «невидимым» извне. В результате атаковать такой объект напрямую невозможно — он может только «стучаться» на белый IP-адрес сервера.
2. Резервирование каналов связи. Наши решения поддерживают дублирование каналов, оптоволокно + мобильная связь), что критически важно для объектов ЖКХ и энергетики.
3. Гибкость в выборе оператора. Возможность использовать SIM-карту любого оператора, чье покрытие наиболее стабильно в конкретной локации.

Современные системы активной защиты: SIEM, EDR и СОВ. Интеграция и тестирование

Базовых мер достаточно против случайных угроз и непреднамеренных атак. Однако они не всегда способны противостоять целевой атаке со стороны злоумышленника, который уже получил легитимный доступ (например, уволенный сотрудник, подкупленный персонал, внешний злоумышленник, который получил доступ к нашей сети). Чтобы противостоять этой угрозе, необходимы специализированные меры по постоянному мониторингу, обнаружению и оперативному реагированию. Для этого используются комплекс из трех ключевых технологий.

Системы обнаружения и предотвращения вторжений (IPS/IDS) - к этому классу относятся специализированные СОВ для промышленных сетей:

• IDS (Intrusion Detection System) – программное или аппаратное средство, которое отслеживает и анализирует сетевой трафик в сети с целью выявления несанкционированного доступа или использования ресурсов.
• IPS (Intrusion Prevention System) - программное или аппаратное средство, которое не только обнаруживает угрозы, но и автоматически блокирует вредоносные действия. Для этого IPS запускает подходящий сценарий реагирования: разрывает соединение, блокирует вредоносный трафик, изменяет маршрутизацию трафика.

Системы EDR (Endpoint Detection Response) – инструменты защиты конечных устройств, таких как инженерные станции, АРМ операторов, серверы SCADA/HMI, c минимальным влиянием на стабильность технологических процессов.

Функционал:

• Постоянного мониторинга активности - сбор данных о процессах, файлах, сетевых соединениях и действиях пользователя на конечных устройствах.
• Обнаружения аномалий и угроз – использование аналитики и машинного обучения для выявления подозрительных действий, характерных для вредоносных программ или злоумышленников.
• Автоматического реагирования – изоляция зараженных устройств, удаление вредоносных файлов и блокировка подозрительных процессов, откат изменения, сделанных злоумышленником

Сиcтемы SIEM (Security Information and Event Management) – централизованная платформа операционной безопасности, которая превращает данные из разрозненных источников промышленной сети в единую картину для предотвращения сбоев и кибератак.

Основная цель – обеспечить операционную целостность путем:

• Сбора данных со всей промышленной экосистемы - промышленные протоколы (анализ сетевого трафика на предмет аномальных команд), контроллеры (мониторинг изменения логики и конфигурации), серверы и АРМы (сбор логов), физические данные (корреляция данных телеметрии с событиями в сети).
• Анализа и корреляции по специфичным правилам - настройка на поиск нестандартных сценариев (скрытые манипуляции, несанкционированные изменения, подозрительная активность).

Важным направлением нашей работы является подтверждение совместимости и интеграции наших продуктов с ведущими системами активной защиты (системы активного мониторинга и реагирования).

1. Интеграция с СОВ «Аркан 2.0» (ASP Labs).

Совместно с разработчиком мы провели успешные испытания, подтвердившие, что комплекс способен в режиме реального времени обнаруживать и блокировать атаки на уровне промышленных протоколов, включая подмену пакетов и несанкционированные команды для наших контроллеров серии АР-8.

2. Совместимость с Kaspersky Industrial Cybersecurity (KICS).

Мы провели длительный цикл тестирования нашего ПО с решениями «Лабаратории Касперского». На масштабном тестовом стенде мы смоделировали различные сценарии вторжений, для проверки эффективности защиты KICS узлов (Windows/Linux) и сетевого трафика, а также в полном отсутствии конфликтов с нашей SCADA-системой «КАСКАД».

Как показывает практика, внедрение таких систем — сложный процесс, требующий подтверждения совместимости с существующей SCADA-системой и контроллерами.

Культура безопасности: самый важный элемент системы

Несмотря на все технические ухищрения, самой главной уязвимостью в системе остается человек. Культура работы с данными и регламенты информационной безопасности на многих предприятиях все еще находятся на низком уровне. Без обучения персонала и внедрения строгих правил даже самая совершенная система защиты может быть обойдена. Поэтому в рамках проектов мы настаиваем на разработке регламентов и проведении обучения для персонала заказчика.

Подводя итоги

Путь к построению защищенной АСУТП начинается с выполнения базовых, но обязательных организационных и технических мер, предписанных регуляторами и продолжается внедрением продвинутых систем мониторинга и активной защиты (SIEM, EDR, СОР). НПО «Каскад-ГРУП» обладает не только собственными продуктами, соответствующим стандартам, но и уникальным опытом их интеграции с лучшими решениями в области ИБ.

Мы готовы предложить рынку не разрозненные продукты, а комплексные, готовые к внедрению технологические решения, прошедшие всестороннюю проверку. Для объектов КИИ такой подход в скором времени станет не просто преимуществом, а обязательным условием, и мы помогаем нашим заказчикам быть готовыми уже сегодня.