Мировая практика защиты промышленных систем

Стоимость эксплуатируемых в мире промышленных систем измеряется миллионами долларов США. Вопросы обеспечения их информационной безопасности приобретают первостепенное значение по мере того как возрастает зависимость от них критической инфраструктуры государств.

Формирование взглядов и приоритетов в области обеспечения информационной безопасности промышленных систем критической инфраструктуры хорошо прослеживается на примере США — страны, в наибольшей степени подверженной угрозам кибертерроризма. В 1997 году на свет появился отчет президентской комиссии по защите критической инфраструктуры, который послужил точкой отсчета для начала широкомасштабных действий, предпринимаемых правительством США с целью повышения защищенности физической, сетевой и информационной инфраструктуры государства. В 1998 году указ президента США N63 (PDD63) определил понятие критической инфраструктуры как «физические и информационные системы, необходимые для обеспечения минимально допустимого уровня функционирования экономики и правительства». К критической инфраструктуре были отнесены: телекоммуникации, энергетика, банковская и финансовая система, транспорт, водные системы и аварийные службы. PDD63 также определил основные элементы государственной стратегии в области защиты критической инфраструктуры, к числу которых относятся:

  • Важность сотрудничества между общественным и частным сектором
  • Головные федеральные агентства для каждого сектора критической инфраструктуры
  • Координационные группы для координации усилий федеральных агентств и промышленных групп
  • Система оповещения и обмена информацией в рамках национального центра защиты инфраструктуры (NIPC)
  • Системы обмена информацией для каждого сектора промышленности, известные как Центры сбора и анализа информации (ISAC)
  • Требование создания «плана обеспечения безопасности национальной инфраструктуры», устанавливающего контрольные точки для анализа уязвимостей и подготовки планов их ликвидации в каждом секторе промышленности.

В 2001 году после событий 11 сентября был выпущен «акт о защите критической инфраструктуры», а в 2002 году — «акт о безопасности отечества», в соответствии с которым в США был образован департамент национальной безопасности (DHS) и учреждена должность директора по анализу информации и защите инфраструктуры. В 2003 году президентом США была утверждена «национальная стратегия обеспечения безопасности киберпространстра». Этот объемный документ адресован широкой американской общественности и направлен на расширение взаимодействия и консолидацию усилий различных слоев общества, государственных, общественных и частных организаций в деле противодействия кибертерроризму. Основная часть стратегии расставляет приоритеты по созданию системы ответных мер, программы противодействия угрозам и уязвимостям, программы обучения и повышения осведомленности, национальной и международной кооперации. Повышение защищенности промышленных систем было объявлено национальным приоритетом.

С тех пор в мероприятиях по обеспечению безопасности промышленных систем задействованы разработчики и владельцы этих систем, консультанты и научно-исследовательские организации, независимые ассоциации и государственные учреждения. Для отработки технических решений по защите промышленных систем были созданы тестовые лаборатории (например, National SCADA Test Bed). В результате было выпущено и продолжается разработка значительного количества стандартов и руководств по различным аспектам обеспечения безопасности промышленных систем.

Компанией Digital Bond Inc. был разработан «Профиль защиты центра управления для промышленных систем управления», в котором формализуется перечень из 22 видов угроз в отношении центра управления промышленных систем. На основании данного перечня формулируются 28 задач защиты, исходя из которых определяется 55 компонентов функциональных требований безопасности и 17 компонентов требований к гарантированности оценки в соответствии с общими критериями. Этой компанией был также разработан набор сигнатур сетевых атак для протоколов Modbus TCP и DNP3, используемых в промышленных системах. Эти сигнатуры изначально были разработаны для системы Snort в рамках исследовательского проекта, финансируемого департаментом национальной безопасности США. Поддержка сигнатур была добавлена в соответствующие продукты Symantec и ISS, являющихся лидерами в этом сегменте рынка информационной безопасности. Компания Cisco модифицировала эти сигнатуры для работы на своей платформе (они были включены в S198 Signature Update для Cisco IDS версии 4.1 и IPS версии 5.0). Продолжается исследовательская работа по созданию механизмов защиты и для других распространенных сетевых протоколов, используемых в промышленных системах.

В ходе планирования и реализации организационно-технических мер по защите промышленных систем необходимо, прежде всего, опираться на международные стандарты ИБ, наиболее востребованным из которых в настоящее время является ISO/IEC 17799:2005. Описанные в этом стандарте механизмы контроля в полной мере применимы и к промышленным системам. Учитывая повышенные требования по защите критической инфраструктуры, в дополнение к существующим международным стандартам, определяющим только базовые механизмы безопасности, необходимо применять также специализированные стандарты и руководства, появившиеся на свет благодаря широкомасштабным мероприятиям по защите критической инфраструктуры, проводимым в США, такие как “Urgent Action Standard 1200 — Cyber Security”, Cryptographic Protection of SCADA Communications, Part 1: Background, Policies, and Test Plan” и многие др.

Дело государственной важности

Защита промышленных систем критической инфраструктуры от кибератак постепенно становится одним из высших приоритетов в обеспечении государственной безопасности. Когда повышенный уровень террористической угрозы сочетается со стремительно возрастающим уровнем зависимости общества от промышленных систем,  этот вопрос стоит особенно остро и требует от правительства принятия скоординированных всеобъемлющих мер. И хотя кибертеррористических актов на сегодня фактически зафиксировано не было, угроза представляется вполне реальной.

Для большинства промышленных систем присущи уязвимости, характерные и для других ИТ систем, а также уязвимости, являющиеся для них специфическими. Для обеспечения адекватной защиты таких систем их разработчики должны будут предпринять значительные усилия по повышению уровня защищенности своих продуктов, встраиванию в них функций безопасности в соответствии с требованиями специализированных профилей защиты с последующей их сертификацией. Владельцы и организации, эксплуатирующие промышленные системы, должны будут изменить свое отношение к вопросам информационной безопасности и существующую систему приоритетов в этой области.

Важнейшая роль в решении вопросов безопасности промышленных систем критической инфраструктуры будет принадлежать правительству, органам государственной безопасности и антитеррористическим структурам. Для проведения соответствующих научно-исследовательских работ, разработки стандартов, методологий и средств защиты промышленных систем потребуются значительные объемы государственного финансирования, масштабные государственные программы и правовое регулирование. Примером здесь может послужить работа, проводимая уже на протяжении многих лет в США.

Александр Астахов, CISA / CNews Analytics


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS