Использование информационных технологий в промышленности, с одной стороны, делает ее более современной, управляемой и эффективной. С другой — предприятия и компании сегодня должны заботиться не только о «физической» безопасности своих объектов, но и об информационной безопасности.

До недавнего времени считалось, что системы управления технологическими процессами должны быть изолированы и закрыты, а доступ должен быть только у специалистов на местах. Однако интенсивность развития новых предприятий сильно опережает подготовку высококвалифицированных кадров, работающих с инженерными системами. Логичным и эффективным кажется решение собрать таких специалистов в одном месте и предоставить им возможность удаленного мониторинга и даже удаленного управления системами. При этом неизбежно возникает вопрос кибербезопасности: как в этом случае защититься от атак недоброжелателей?

На самом деле вопросы кибербезопасности стояли и раньше — на уровне компонентов инженерных систем: стоит вспомнить знаменитую атаку на контроллеры на АЭС с помощью червя StuxNet. После этого инцидента производители стали намного чаще задумываться о защите своих промышленных изделий. Но даже сегодня можно встретить руководителей предприятий, воспринимающих цифровую защищенность как некий «амбарный замок», наличие которого дает абсолютную уверенность в том, что вопрос кибербезопасности закрыт.

Тем временем в ходе исследования 2018 Cost of Data Breach Study: Impact of Business Continuity Management, проведенного Ponemon Institute LLC по запросу IBM, выявлены любопытные цифры. В некоторых отраслях среднее время обнаружения утечки данных может достигать 214 дней, усредненные потери составляют 3,86 млн долларов, время на восстановление — до 70 дней.

В отчете CXP Group «Информационная безопасность систем промышленной автоматизации в 2018 году», сделанном по заказу «Лаборатории Касперского», прослеживаются еще несколько интересных тенденций. Во-первых, большая часть опрошенных компаний (77%) думают о кибербезопасности промышленных систем. При этом половина испытывают нехватку квалифицированных кадров. И лишь 23% полностью соблюдают местные требования по защите промышленных сетей. Отметим, что соблюдение всех требований является непростой задачей из-за их многообразия и комплексности, а также постоянных их обновлений.

Еще один нюанс: зачастую руководители ИТ-служб понимают, что такое кибербезопасность и зачем она нужна, но не имеют понятия, какие устройства и программные продукты применены в операционных инженерных системах. Одновременно с этим руководители служб эксплуатации, будучи прекрасно осведомленными об оборудовании, крайне мало понимают в вопросах киберзащиты.

При этом IT-безопасность в целом и безопасность промышленных систем имеют разное значение. Если в первом случае ущерб может привести к финансовым потерям, но не к авариям, то атака на промышленные производства может привести к катастрофическим последствиям и даже к человеческим жертвам.

Кибербезопасность в EcoStruxure

Защищенность промышленной сети предприятия — задача, которую можно доверить только профессионалам. В архитектуре EcoStruxure™ Power от Schneider Electric вопросы кибербезопасности рассматриваются и решаются на каждом технологическом уровне.

На уровне полевых устройств по умолчанию заложены ограничения доступа к возможностям изменения настроек устройств без ввода пароля администратора. Эти требования отражаются в перечне мер по управлению доступом УПД в приказе ФСТЭК 239. Появление новых технологий, таких как BLE (Bluetooth Low Energy), тоже не остается без внимания. В устройствах с таким функционалом заложены технологии авторизации через одноразовый пароль, что исключает неконтролируемый доступ по этому протоколу даже в целях сбора информации.

На втором уровне управления и обработки данных все программные продукты разрабатываются в соответствии со стандартами МЭК-62443-4-1, регламентирующими безопасный цикл разработки. А в шлюзе передачи физически разделены порты подключения устройств и порт трансляции данных — тем самым исключена возможность проникновения через них злоумышленников. Для передачи данных используется асимметричное шифрование, ключи шифрования не могут быть изменены пользователем.

Облачные решения базируются на технологиях Microsoft Azure. Политика Schneider Electric по обеспечению безопасности облачных вычислений — упреждающая и непрерывная. Для контроля и тестов в компании применяются внутренние стандарты, без которых невозможно сертифицировать и выпустить приложение. Процесс сертификации включает моделирование угроз, пентесты и проверку эксплуатационной надежности. Процесс мониторинга происходит непрерывно, и все выявленные уязвимости сразу устраняются. Также заложены специальные профилактические меры и процедуры, которые выявляют аномальные активности в работе с приложениями. Такие процессы сразу же изолируются, а записи транзакций отправляются на исследование.

На многих встречах и дискуссиях по теме построения АСУ ТП возникает вопрос тестирования совместимости компонентов системы. Schneider Electric ведет плотное сотрудничество со своими партнерами, интегрирующими системы непосредственно на объектах у заказчиков, чтобы сохранять целостность системы согласно МЭК-62443-3. В случае с EcoStruxure™ Power вопросы совместимости берет на себя вендор, предоставляя заказчику гарантию, что данные с устройств будут передаваться в полном объеме, без ошибок интерпретации и в безопасном формате.

Аудит безопасности

Даже когда объект построен и введен в эксплуатацию, стоит помнить, что любая инженерная система нестатична: могут добавляться и меняться компоненты, а также приходить новый персонал. Если у руководства предприятия нет полной картины текущего состояния систем — можно провести аудит по кибербезопасности.

Аудит Schneider Electric позволяет выяснить, какие средства сетевой безопасности применяются и каким образом они настроены, правильно ли построена сегментация промышленной сети, как организованы процессы мониторинга и анализа киберугроз, какие есть процедуры реагирования. Кроме того, проверяются уровни доступа пользователей к конечным устройствам. На основании такого аудита можно разработать и внедрить планы корректировок, позволяющих повысить уровень киберустойчивости предприятий и объектов.

Инвестируя в новое производство или модернизируя старое, стоит помнить, что вопросы кибербезопасности касаются не только систем с личными данными пользователей, но и систем, обеспечивающих функционирование предприятий. Чем более комплексно решен вопрос кибербезопасности, тем более защищенным будет объект.