Securitatea sistemelor de control

Siguranța sistemelor de control  este prevenirea interferențelor intenționate sau neintenționate cu funcționarea corectă a sistemelor de control automate industriale (ACS). Aceste sisteme gestionează astăzi toate activitățile majore, inclusiv energia nucleară și alte energie electrică , producția și transportul petrolului, alimentarea cu apă, transportul, comunicațiile și diverse alte industrii și procese. Sistemele de control includ computere, rețele, sisteme de operare, aplicații și controlere programabile și neprogramabile . Aproape fiecare dintre aceste elemente poate conține vulnerabilități de securitate . Descoperirea în 2010 a malware-ului Stuxnet a demonstrat vulnerabilitatea ICS la incidente cibernetice. De atunci, diferite guverne au început să adopte reglementări de securitate cibernetică care necesită o protecție sporită a sistemelor de control responsabile de infrastructura critică.

Securitatea sistemelor de control include securitatea sistemelor de control industrial (ICS), securitatea controlului de supraveghere și achiziției de date (SCADA), securitatea controlului proceselor, securitatea rețelelor industriale și sistemele de control al securității cibernetice.

Riscuri

O încălcare a securității unui sistem de control industrial poate duce la consecințe catastrofale în ceea ce privește pierderea de vieți omenești, impact negativ asupra mediului, deteriorarea lanțului de producție, deteriorarea echipamentelor, furtul de informații confidențiale și deteriorarea imaginii unei companii. .

În ultimii ani, s-au înregistrat o serie de defecțiuni în funcționarea sistemelor de control, care au avut consecințe mai mult sau mai puțin grave și au fost cauzate atât de coincidența de circumstanțe, cât și de acte rău intenționate. Iată câteva dintre ele:

• Pane de curent în mai multe regiuni din Statele Unite și Canada în 2003. Cauza accidentului este considerată a fi coincidența unui număr de factori nefavorabili, printre care congestionarea rețelei și defecțiunea computerului.
• Un accident în 2005 la substația electrică nr. 510 „ Chagino ”, în urma căruia o serie de districte din Moscova, regiunea Moscovei și regiunile adiacente au fost private de energie electrică. Cauza accidentului este considerată a fi coincidența unui număr de factori nefavorabili: deprecierea utilajelor, căldura, neprofesionalismul angajaților.
• Atacul malware-ului industrial Stuxnet , care a lovit în 2010 întreprinderile industriale iraniene asociate cu programul nuclear al țării [1] .
• Dezastru în 2011 la centrala nucleară de la Fukushima. Cauza sa a fost o defecțiune obișnuită a echipamentului după cutremur și tsunami.
• Deconectarea la sfârșitul anului 2015 a alimentării cu energie electrică într-un număr de regiuni ale Ucrainei (regiunile Ivano-Frankivsk , Cernăuți și Kiev ). Cauza accidentului a fost impactul malware-ului Industroyer, introdus, potrivit reprezentanților companiilor și agențiilor de informații ucrainene, de hackerii ruși [2] . Pana de curent s-a repetat la sfârșitul anului 2017. Ukrenergo a dat din nou vina pe intrușii ruși pentru acest lucru [3] .

Vulnerabilitatea sistemelor de control

Sistemele industriale de automatizare și control au devenit mult mai vulnerabile datorită tendințelor care au fost observate în ultimii 15-20 de ani. Principalele motive pentru aceasta sunt:

• Adoptarea în creștere a programelor standard comerciale (COTS) și a protocoalelor. Integrarea tehnologiilor precum MS Windows, SQL și Ethernet înseamnă că ICS este acum adesea vulnerabil la malware care afectează și rețelele publice.
• Integrarea întreprinderii (folosind rețelele din fabrică, corporative și chiar publice) înseamnă că, de multe ori, sistemele de control al proceselor vechi de astăzi sunt expuse la impacturi care nu au fost luate în considerare atunci când au fost proiectate.
• Redundanța funcțională a echipamentelor ACS. Utilizarea pe scară largă a controlerelor și procesoarelor programabile complexe pentru a controla procese tehnologice standard și simple, cu o gamă predeterminată de parametri, în care utilizarea unor soluții nemodificabile, așa-numitele „ logice rigide ” poate fi suficientă, le face vulnerabile la defecțiuni sau la reprogramare și controlul de către intruși.
• Cerere în creștere pentru acces la distanță. Accesul 24/7 pentru inginerie, operațiuni sau servicii tehnice, împreună cu comoditatea, înseamnă un risc crescut de conexiuni nesigure sau rău intenționate la sistemele de control.
• Disponibilitatea informațiilor. Ghidurile pentru utilizarea sistemelor de control sunt disponibile atât pentru utilizatorii legitimi, cât și pentru atacatori.

Contracararea amenințărilor

O creștere a numărului și schimbarea rapidă a tipurilor de amenințări la adresa sistemelor automate de control al întreprinderii a avut loc la începutul secolului al XXI-lea. Având în vedere că introducerea pe scară largă a sistemelor automate de control al proceselor a avut loc cu câteva decenii mai devreme, când nivelul unor astfel de amenințări era cu ordine de mărime mai scăzut, este important să analizăm sistemele create atunci, ținând cont de nivelul actual al amenințărilor [4] .

• Audit detaliat al securității rețelei întreprinderilor și al sistemelor lor de control al proceselor. O atenție deosebită trebuie acordată arhitecturii acelor sisteme care au fost construite cu câteva decenii în urmă, când nivelul de pericol era la un nivel mult mai scăzut. Auditul riscurilor de defecțiune a ACS din cauza unei cauze comune.
• Respingerea sistemelor redundante cu logica reprogramabila. Când se cunoaște inițial numărul sarcinilor de control care trebuie efectuate, este oportună trecerea la sisteme izolate de rețelele externe cu o logică rigidă predeterminată, în care intervenția din exterior este practic imposibilă.
• Introducerea așa-numitelor „ sisteme de protecție diverse ” (sistem de acționare divers), atunci când sistemul de control automatizat existent este completat cu altul, construit pe alt software sau hardware și rezolvând principalele probleme de securitate. Sisteme similare sunt deja utilizate la unele centrale nucleare și sunt recomandate pentru o utilizare și mai mare de către AIEA [5] , deoarece reduc riscul de defecțiune din cauza comună, nu numai din cauza unei erori de programare sau a unui atac rău intenționat al hackerilor, ci și a unor fenomene precum ca supraîncălzire din cauza defecțiunii.sisteme de aer condiționat, incendiu, inundații în timpul stingerii incendiului etc. Sisteme de protecție similare au fost implementate, de exemplu, de uzina Fizpribor din Moscova la CNE Novovoronezh și sunt în prezent implementate de compania franceză Orano la Centrală nucleară britanică de la Hinkley Point . Cu toate acestea, acest principiu este aplicabil nu numai industriei nucleare, ci și oricăror sisteme de control pentru procesele tehnologice periculoase.

Eforturile guvernelor naționale

Este general acceptat că una dintre primele țări care și-a exprimat îngrijorarea nu doar cu privire la securitatea cibernetică, ci și cu privire la securitatea sistemelor de control, a fost Statele Unite. În special, Computer Emergency Response Team (CERT) a guvernului SUA a stabilit Programul de Securitate al Sistemelor de Control (CSSP) [6] , care oferă un set mare de standarde și tehnologii naționale gratuite [7] (NIST) legate de securitatea sistemului de control.

De asemenea, țările europene manifestă din ce în ce mai multă îngrijorare cu privire la aceste probleme. Deci, de exemplu, în Germania, securitatea informațiilor este gestionată de Oficiul Federal pentru Securitatea Informației (Das Bundesamt für Sicherheit in der Informationstechnik) și problemele obiectelor de importanță critică ale infrastructurii și economiei IT naționale, inclusiv securitatea sistemelor de control Național Centrul pentru securitate cibernetică . În plus, la inițiativa Ministerului Apărării și a Ministerului Afacerilor Externe al Germaniei, se creează o nouă structură - Agenția pentru Inovare și Securitate Cibernetică (Agentur für Innovation in der Cybersicherheit) [8] .

Rusia, conform indicelui de securitate cibernetică pentru 2017 [9] , care este publicat de Uniunea Internațională a Telecomunicațiilor (ITU), a intrat în grupul țărilor lider și ocupă locul zece - înaintea Japoniei și Norvegiei și după Franța și Canada. Serviciul Federal pentru Control Tehnic și Export (FSTEC al Rusiei), care răspunde în fața Ministerului Apărării, se ocupă de securitatea sistemelor industriale la nivel de stat. În Rusia, din aprilie 2017, standardul național GOST R IEC 62443-3-3-2016 „Cerințe de securitate a sistemului și niveluri de securitate”, introdus prin ordin al Agenției Federale pentru Reglementare Tehnică și Metrologie din 1 iunie 2016 N 469-st a fost în vigoare [10] . Acest standard este armonizat cu standardele internaționale de siguranță pentru sistemele de control al proceselor.

Standarde internaționale de siguranță pentru sistemele de control al proceselor

Dezvoltat de Asociația Internațională de Automatizare, ISA/IEC-62443 este un set de protocoale, rapoarte tehnice și informații aferente care definesc proceduri pentru implementarea sistemelor de automatizare și control industrial securizate electronic. Acest standard se aplică utilizatorilor finali, integratorilor de sisteme, profesioniștilor în securitate și producătorilor de sisteme de control responsabili de fabricarea, proiectarea, implementarea sau operarea sistemelor de automatizare și control industrial.

Acest standard a fost inițial numit ANSI/ISA-99 sau ISA99, după Asociația Internațională de Automatizare (ISA) care l-a creat. În 2010, datorită armonizării documentelor ISA și ANSI cu standardele relevante ale Comisiei Electrotehnice Internaționale (IEC) , standardul a fost redenumit ANSI / ISA-62443.

Note

1. ↑ Atacul Stuxnet asupra Iranului . Consultat la 5 octombrie 2018. Arhivat din original la 11 septembrie 2018. (nedefinit)
2. ↑ În interiorul hack-ului viclean, fără precedent, al rețelei electrice a Ucrainei . Consultat la 5 octombrie 2018. Arhivat din original la 5 octombrie 2018. (nedefinit)
3. ↑ Pana de curent a Ucrainei a fost un atac cibernetic: Ukrenergo . Consultat la 5 octombrie 2018. Arhivat din original la 5 octombrie 2018. (nedefinit)
4. ↑ Shults V. L., Kulba V. V., Shelkov A. B. Auditul securității informațiilor sistemelor de control automatizate  // Trends and Management: Journal. - 2014. - Nr 4 . — S. 319–334 . Arhivat din original pe 5 octombrie 2018.
5. ↑ Agenția Internațională pentru Energie Atomică. Criterii pentru sistemele de acționare diverse pentru centrale nucleare  //  SERIA TECDOC IAEA. — ISSN 1011–4289 . Arhivat din original pe 29 august 2018.
6. ↑ Homeland Security, Divizia Națională de Securitate Cibernetică. Catalogul securității sistemelor de control : Recomandări pentru dezvoltatorii de standarde  . - 2011. - Aprilie. Arhivat din original pe 20 ianuarie 2017.
7. ↑ Echipa de răspuns la urgențe cibernetice pentru sistemele de control industrial. Standarde și referințe (link nu este disponibil) . Preluat la 5 octombrie 2018. Arhivat din original la 23 august 2018. (nedefinit) 
8. ↑ TASS. Spiegel: Guvernul german intenționează să înființeze o agenție de securitate cibernetică . Consultat la 5 octombrie 2018. Arhivat din original pe 6 octombrie 2018. (nedefinit)
9. ↑ Uniunea Internațională a Telecomunicațiilor. Global Cybersecurity Index (GCI) 2017  (engleză) . Arhivat din original pe 25 ianuarie 2019.
10. ↑ Rețele de comunicații industriale. Securitatea rețelelor și sistemelor. . Consultat la 5 octombrie 2018. Arhivat din original pe 6 octombrie 2018. (nedefinit)