Computerworld, США

Стандарты для повышения безопасности SCADA-систем

По инициативе американского Национального института стандартов и технологий (NIST) в 2001 году был создан форум Process Control Security Requirements Forum. В октябре прошлого года форум опубликовал предварительную версию стандарта System Protection Profile for Industrial Control Systems (SPP ICS), который регламентирует вопросы защиты инфраструктуры систем управления критически важными производственными процессами.

«Мы начинали с коллектива, в состав которого входило около десяти предприятий, — вспоминает Кит Стауффер, председатель форума и инженер NIST. — Теперь же число членов форума приближается к 600. Его деятельность интересна всем, кто так или иначе связан с управлением производственными процессами, в том числе пользователям, научным сотрудникам, чиновникам, интеграторам и производителям. Нет сомнения в том, что стандарты, подготовленные с учетом мнения представителей самых разных отраслей, от пищевой промышленности и водоснабжения до энергетики и транспорта, позволят повысить уровень безопасности».

Сначала было проведено около десятка встреч и несколько селекторных совещаний, чтобы узнать мнение представителей различных предприятий, которые Министерством внутренней безопасности США поделены на 13 групп по степени важности их инфраструктуры для безопасности страны. К этим группам относятся такие наиболее значимые гражданские службы, как, например, транспорт, пищевая промышленность, коммунальное водоснабжение, электроэнергетика, фармацевтика. Предприятия этих отраслей являются, как правило, наиболее крупными пользователями систем диспетчерского управления и сбора данных (Supervisory Control and Data Acquisition, SCADA).

«SCADA-системы создаются с учетом требований надежности и безопасности, но не защиты. Теперь они все чаще и чаще взаимодействуют с IP-сетями и становятся уязвимыми к Internet-угрозам», — считает Стауффер.

В первую очередь форум занялся моделированием стандартов защиты на основе работы, выполненной в рамках инициативы National Information Assurance Partnership Агентства национальной безопасности США и NIST, реализация которой привела к созданию общих критериев оценки и проверки систем Common Criteria Evaluation and Validation Scheme.

«Для описания требований к защите не существует формальных языков», — заметил Стауффер, добавив, что стандарт SPP ISC определяет, что нужно сделать, но не указывает, как именно вы должны это сделать.

Он подчеркнул, что требования SPP ISC касаются обеспечения защиты в течение всего жизненного цикла системы и согласованы с представителями всех отраслей. Они будут периодически обновляться с учетом замечаний участников рынка.

«Это обобщенные требования различных отраслей промышленности. Мы пытаемся убедить людей в необходимости думать о защите с самого начала создания системы», — подчеркнул Стауффер.

Стандарт SPP ICS включает в себя такие «священные» для специалистов концепции, как всесторонняя безопасность или многоуровневая защита, охватывающая датчики производственных процессов, программируемые логические контроллеры, системы мониторинга и управления производственными процессами, ERP-приложения и Internet.

По оценкам отраслевых источников, затраты на обеспечение соответствия коммерческих программных продуктов «Общим критериям» могут превышать четверть миллиона долларов.

Томас Гуд из Du Pont, также участник форума, заметил, что в ближайшие два-три года новые стандарты могут оказать влияние на защищенность производственных процессов, а также на управление ими.

«При наличии продуктов, снабженных встроенными средствами защиты, заказчики могут выбрать подходящее коммерчески доступное устройство и сконфигурировать его функции защиты в соответствии со своими требованиям, — сказал он. — Предприятия будут рассматривать вопрос о соответствии систем управления спецификациям стандарта SPP ICS при модернизации или создании новых производственных линий только в тех случаях, когда риск действительно достаточно высок. Поскольку обеспечение защиты связано со значительными затратами, я бы не рассчитывал на то, что многие организации пойдут на замену существующих систем управления».

Гуд считает также, что нужна дополнительная подготовка персонала.

«Чтобы эффективно использовать новые возможности защиты, скорее всего, потребуются навыки, которыми не обладают менеджеры большинства систем управления производственными процессами, — поясняет он. — Для получения дополнительных знаний в области защиты можно использовать собственный ИТ-персонал, прошедших соответствующее обучение операторов управления процессами или нанятых по контракту специалистов».

В выпускающей программные и аппаратные средства для управления производственными процессами компании Honeywell рассчитывают на то, что продукты, отвечающие требованиям SPP ICS, будут пользоваться спросом на рынке.

«Мы уверены, что наши заказчики согласятся с положениями этой спецификации», — заявил Кевин Стеггс, менеджер Honeywell по планированию систем управления, подчеркнув, что многие продукты уже удовлетворяют некоторым из этих требований.


Защищайтесь

Вопросы защиты систем управления производственными процессами, регламентируемые предварительной версией стандарта SPP ICS, отражают общепринятые принципы безопасности

  • Противодействие умышленному искажению данных. Служит для предотвращения использующих имитации адресов атак для обеспечения правильности и целостности информации ПЛК и датчиков.
  • Идентификация и авторизация. Позволяет убедиться в аутентичности данных, передаваемых устройствами, датчиками, ПЛК, контроллерами, системами управления производственными процессами и пользователями.
  • Регистрация и аудит. В случае непредвиденных ситуаций позволяют предоставить имеющие юридическую силу сведения, сопровождающиеся соответствующим им данными о времени и дате.
  • Шифрование. Осуществляется при необходимости защиты критически важной или конфиденциальной информации.
  • Защита по умолчанию. Предполагает поставку производителями готовых продуктов с уже встроенными функциями защиты.
  • Физическая защита. Служит для поддержания целостности системы.
  • Политики и процедуры. Устанавливаются для реализации правил управления защитой.