В современных условиях информационные системы АСУ ТП должны как содержать защиту от «обычных» зловредов, так и располагать специальными средствами для противодействия целенаправленным атакам.
Текущие трудности
К сожалению, сегодня в России защиту промышленной инфраструктуры затрудняют как архитектурные, так и организационные и технологические факторы. Не способствует решению проблем и сложная бюрократическая процедура внесения изменений в работу промышленных и особенно критически важных промышленных объектов.
Как известно, российские АСУ ТП, однажды пройдя процедуру ввода в эксплуатацию, «опечатываются» и работают без обновлений многие годы. Строгие регламенты и нормативные акты не позволяют вносить в уже сертифицированную систему какие-либо изменения, даже в виде обновления операционной системы. Между тем, когда происходила приемка системы, проверка встроенных свойств безопасности, скорее всего, не проводилась. Да и само понятие безопасности, как правило, до сих пор сводится к ограничению доступа пользователя по паролю, который, опять же, нередко хранится в открытом виде в базе данных самого приложения.
Вычислительное оборудование АСУ ТП тоже, как правило, вводится в эксплуатацию с уже устаревшими прошивками (внутренним исполняемым микрокодом). Однако на сайте производителя всегда доступна свежая прошивка, в которой ряд известных проблем с информационной безопасностью уже закрыт, но их наличие никто не проверяет даже на этапе развертывания системы – просто потому, что с администраторов этого никто не требует.
С другой стороны, автоматизацией технологических процессов обычно занимаются не сами предприятия-операторы, а сторонние фирмы-подрядчики. Они, в свою очередь, заинтересованы в реализации именно функциональной составляющей, не придавая особого значения информационной безопасности, поскольку ее реализация – довольно трудозатратное занятие. Таким образом, предприятие получает только ту степень защиты от киберугроз, которая требуется действующим законодательством, ни о каких специальных настройках и проверках речь не идет. В конце концов использующееся ПО «падает» или поддается несанкционированному управлению без особых проблем.
Помимо этого, существуют трудности с обнаружением киберугроз из-за отсутствия сетевого мониторинга, а также с необходимостью привлечения сторонних экспертов, в то время как предприятия не горят желанием сообщать об инцидентах. Наконец, проще переустановить, чем разбираться.
Защита возможна
Вопрос информационной безопасности КВО в России давно назрел, и его следует решать комплексно. Государственные органы всерьез озабочены разработкой регламентных документов. Так, сейчас проходит согласование в министерствах проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». ФСТЭК РФ выпустил приказ от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Эта деятельность, несомненно, полезна, но в условиях XXI в. ее недостаточно – регулирование в области IT/OT сегодня реактивно и явно отстает быстро развивающихся технологий. Помимо регламентных документов, должны быть:
• выработаны методологии и практики для построения защищенной инфраструктуры КВО;
• выработаны единые критерии защищенности инфраструктуры КВО, которые должны оперативно дорабатываться и адаптироваться под изменения ландшафта угроз;
• разработаны методы стимулирования и юридической поддержки КВО, которые уже разрабатывают и применяют эффективные меры защиты;
• образовательные программы для работников и управляющих КВО.
Надежную защиту АСУ ТП можно обеспечить только при сотрудничестве государства, самих предприятий, проектных, научных организаций и производителей решений информационной безопасности.
Необходимо выработать методологии и практики для построения защищенной инфраструктуры критически важных объектов, прийти к соглашению по единым критериям защищенности промышленной инфраструктуры, которые должны оперативно дорабатываться и адаптироваться под изменения ландшафта угроз, разработать методы стимулирования и юридической поддержки тех предприятий, которые уже применяют эффективные меры защиты, а также в обязательном порядке проводить образовательные программы для работников и управляющих АСУ ТП.
Государству также необходимо принимать и другие меры, например организовывать регулярные кибертеррористические тренировки, разработать и внедрить единую политику в области обеспечения и контроля поставок оборудования и ПО для АСУ ТП, создать единые стандарты по приемке и сертификации АСУ ТП при вводе их в эксплуатацию, которые включали бы критерии информационной безопасности.
Сегодня в России нет организаций, которые занимались бы мониторингом ситуации с безопасностью АСУ ТП системно, это вне компетенции любого из существующих госорганов. Именно поэтому «Лаборатория Касперского» видит необходимость в создании Национальной российской тестовой лаборатории по исследованию проблем информационной безопасности критически важных объектов. Такой единый центр мог бы на федеральном уровне исследовать как уже известные, так и перспективные подходы по организации защиты АСУ ТП, своевременно обнаруживать проблемы информационной безопасности в используемых программных и аппаратных средствах, вырабатывать рекомендации по их устранению, информировать соответствующие предприятия, рекомендовать к использованию протестированные программно-аппаратные средства, обладающие высокими показателями устойчивости к кибератаке, и т. д.
Наряду с этим для защиты ИТ-инфраструктур промышленных объектов нужны и принципиально новые методы, технологии и продукты. Многие производители решений информационной безопасности сейчас пытаются внедрять свои обычные, «офисные» продукты в АСУ ТП, однако такой подход может быть использован только в короткой перспективе. В промышленных системах есть своя специфика и нужны продукты, ее учитывающие. Именно поэтому «Лаборатория Касперского» сейчас работает над созданием ряда специальных решений, предназначенных для защиты АСУ ТП от самых разных киберугроз как на уровне сетевых узлов, так и на уровне защиты информационной сети в целом.
В основе разработок «Лаборатории Касперского» лежит безопасная операционная система, над созданием которой компания работает продолжительное время. Она не является заменой для существующих систем, таких как Windows, Linux, MAC OS, которые предназначены для рабочих станций и серверов. Защищенная ОС предназначена для устройств, для которых важно обеспечить высокий уровень информационной безопасности и надежности, например, для PLC-контроллеров, сетевого оборудования или узлов SCADA-систем.
Операционная система, созданная «Лабораторией Касперского», предоставляет программную среду, которая позволяет любому программному компоненту, будь то драйвер, сервис или приложение, выполнять только предварительно декларированную функциональность. Она обеспечивает такой контроль независимо от того, как реализован исполняющийся программный модуль, предоставляя возможность строить доверенные системы из недоверенных компонентов.
Кроме этого, «Лаборатория Касперского» разрабатывает специализированные средства, предназначенные для информационной защиты сетевых узлов под управлением операционных систем семейства Windows. Принципиальное отличие этих средств от широко распространенных средств антивирусной защиты заключается в том, что они используют ресурсы компьютера нормированным образом, позволяя гарантировать, что основная функциональность программного обеспечения компьютеров в ответственных применениях будет иметь ресурсы для исполнения.
Также «Лаборатория Касперского» разрабатывает средства сетевого мониторинга, которые анализируют копию сетевого трафика, тем самым гарантируя отсутствие влияния на процессы в управляющей сети. Вместе с тем такого рода мониторинг позволяет на ранней стадии определить нехарактерное поведение сетевых устройств, непредусмотренную сетевую активность, целостность сети, изменения в поведении отдельных сетевых узлов, нарушения в потоке управляющей информации технологического процесса. Мониторинг сетевой информации и предупреждения, генерируемые такой системой, позволяют вовремя информировать подготовленный обслуживающий персонал и принимать компенсирующие или иные меры, предупреждающие негативное развитие ситуации.
Проблемы международного взаимодействия и рекомендации для России и мирового сообщества
С учетом ограниченных перспектив международного сотрудничества в сфере обеспечения безопасности КИИ от ИКТ-угроз востребованным видится развитие форматов, которые не обязательно предполагают согласование официальных подходов государств и национальных регуляторов на уровне международной дипломатии и вообще не обязательно предполагают центральную роль государства. В частности, речь идет о необходимости создания и поддержки отраслевых центров обмена информацией (по аналогии с американскими Центрами обмена и анализа информации (ISAC)), повышения квалификации специалистов по ИБ АСУ ТП и КВО в целом, проведении регулярных киберучений как на национальном уровне, так и с подключением внешних партнеров, а также разработке условий государственно-частного партнерства в сфере обеспечения ИБ КВО и других подобных мерах.
В частности, в рамках международного сотрудничества реалистичной задачей могла бы стать попытка выработать базовые рамочные механизмы обмена информацией об угрозах и инцидентах безопасности на объектах КИИ.
Работа по следующим направлениям могла бы дать возможность осуществить конкретные шаги по осуществлению поставленных целей.
1. Начальным шагом может стать закрепление вопросов защиты КИИ от ИКТ-угроз в международной дискуссии. Процесс уже начал развиваться на нескольких площадках в части проблем кибербезопасности объектов мирной атомной отрасли. В продвижение и активизацию широкого публичного обсуждения этих вопросов внесли вклад экспертные исследования и инициативы. В 2013 г. на сайте Госдепартамента США было опубликовано исследование «Кибербезопасность АЭС», выполненное интернациональной группой экспертов из США, Германии и Италии. В числе рекомендаций, сформулированных авторами, Совету Безопасности ООН, в частности, предлагается в рамках главы VII Устава ООН рассмотреть и при необходимости внести поправки в тексты «антитеррористических» резолюций 1373 (2001)[4] и 1540 (2004)[5] с тем, чтобы их положения также распространялись на акты кибертерроризма в отношении ядерных объектов.
В январе 2014 г. доклад о мерах сдерживания и ответственного поведения государств в киберпространстве с упором на снижение рисков для объектов мирной атомной отрасли выпустил Институт «Восток – Запад»[6]. Одна из ключевых рекомендаций доклада призывала государства и частный сектор открыть на площадке Саммита по ядерной безопасности в Гааге дискуссию о выработке предварительного соглашения о том, что кибератаки, нарушающие безопасное функционирование гражданских атомных объектов в мирное время, должны быть запрещены многосторонним юридически обязывающим документом[7].
Эта рекомендация не была в полной мере учтена в ходе саммита, который состоялся 24–25 марта 2014 г. Однако проблематика кибербезопасности ядерных объектов все же была затронута на его площадке. В итоговом коммюнике саммита этим вопросам уделены два абзаца[8], которые, помимо прочего, призывают государства и частный сектор к разработке более эффективных стратегий снижения рисков атак на АСУ ТП и информационные системы атомных объектов, но не предлагают каких-либо международно-правовых нововведений в этой связи.
Важной вехой стала прошедшая 1–4 июня 2015 г. первая Международная конференция по компьютерной безопасности в ядерном мире, организованная МАГАТЭ. Задача конференции была определена как создание площадки для широкого обмена мнениями по вопросам защиты объектов ядерной отрасли от ИКТ-угроз, а также обсуждения возможностей укрепления роли МАГАТЭ по развитию международного сотрудничества в этой области. Содержание большей части докладов и обсуждений на конференции показало значительный зазор между развитием мысли в рамках экспертного трека 2 и видением проблем кибербезопасности атомной отрасли государствами и межправительственными организациями, включая прежде всего само МАГАТЭ. Правительства куда осторожнее экспертов оценивают перспективы тесного международного сотрудничества и выработки новых механизмов в этой нише; предпочтение отдается более узким, практическим и техническим задачам, для которых идеально подходит площадка МАГАТЭ. Причины лежат на поверхности: атомная отрасль особо чувствительна для национальной безопасности, что сильно ограничивает возможности обмена данными об инцидентах на атомных объектах, а также организации трансграничного содействия в расследовании таких инцидентов.
Вместе с тем формирование постоянной дискуссионной площадки для вопросов кибербезопасности атомной инфраструктуры показывает растущую важность этих вопросов для МАГАТЭ, а также для государств, развивающих мирную атомную энергетику. Поддержка этих треков и участие в них представляется востребованными для России и других государств направлениями работы. Вопросы ИКТ-угроз объектам КИИ в отрасли атомной энергетики также были затронуты в рамках IV Международной конференции по вопросам киберпространства, которая состоялась 16–17 апреля 2015 г. в г. Гааге, Нидерланды. Полезным и авторитетным форматом также стал международный научный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», который ежегодно проходит в г. Гармиш-Партенкирхен, Германия. Наконец, дискуссия о безопасности КИИ атомной отрасли может получить должное развитие и в рамках генеральных конференций МАГАТЭ.
2. Учитывая высокий уровень компетенций МАГАТЭ в сфере разработки рекомендаций и практической проработки вопросов кибербезопасности на объектах ЯТЦ, целесообразным шагом в среднесрочной перспективе может стать закрепление за Агентством центральной роли в развитии и координации международного сотрудничества по борьбе с ИКТ-угрозами КИИ атомной отрасли. В частности, предметом обсуждения могут быть следующие меры:
• Формирование при МАГАТЭ международной базы данных по компьютерным инцидентам на объектах атомной отрасли. Информация, конфиденциально поступающая в подобный «информационный репозиторий» от государств-членов, компаний и экспертов ИБ-сектора и предприятий атомной отрасли, могла бы использоваться для развития рекомендаций и повышения экспертизы Агентства в этой области. Для создания базы данных может быть использован опыт существующих в частном секторе форматов – например, репозитория инцидентов безопасности на промышленных объектах (The Repository of Industrial Seсurity Incidents, RISI).
• Кроме того, в случае успешного развития формата репозитория МАГАТЭ могло бы выполнять функцию связующего звена между компаниями сектора ИБ, командами государственных экспертов и государствами, сталкивающимися с компьютерными атаками на объекты КИИ атомной отрасли и нуждающимися в оперативном содействии для их устранении и расследования. К примеру, в случае со Stuxnet наличие такого механизма позволило бы Ирану оперативно, открыто или конфиденциально, запросить у МАГАТЭ информацию о сходных инцидентах из репозитория, а также сделать запрос на содействие в оперативном устранении и расследовании атаки со стороны самих экспертов МАГАТЭ и, например, России и «Лаборатории Касперского». Добровольный и, по желанию, конфиденциальный характер участия сторон в таком механизме мог бы позволить решить вопросы дефицита доверия. Кроме того, глобальный характер МАГАТЭ обеспечил бы всем государствам-членам доступ к такому механизму, в отличие от RISI и других существующих баз данных.
• Наконец, в среднесрочной перспективе под координацией и на площадке МАГАТЭ с учетом компетенций Агентства могла бы стартовать разработка рамочного соглашения об обеспечении безопасности КИИ в атомной отрасли. Принятие подобного документа, помимо создания для государств стимулов к развитию регулирования данных вопросов, позволило бы в полной мере задействовать лучшие практики и экспертизу, которые могут быть накоплены Агентством в рамках работы механизма репозитория данных об инцидентах на объектах КИИ атомной отрасли. Однако на данном этапе рассматривать конкретное наполнение такого соглашения, как и прогнозировать сроки его возможной разработки и принятия, преждевременно.
3. За рамками МАГАТЭ потенциал имеют и другие форматы наращивания возможностей международного сотрудничества по обеспечению безопасности объектов КИИ от ИКТ-угроз. Однако именно объекты атомной отрасли (возможно, наряду с иными техногенноопасными объектами) имеют наибольшие шансы стать «стартовой площадкой» для международной проработки всей сферы безопасности КИИ. В пользу такой оценки говорит осознание международным сообществом особой опасности таких объектов, их ограниченного и легко идентифицируемого перечня и развитой практики международного регулирования их работы, которая накоплена в том числе усилиями МАГАТЭ.