19 подписчиков

Информационная безопасность АСУТП

23 апреля 202423 апр 2024

19 мин

Оглавление

Физическая защита.
Обеспечение невозможности подключения к информационным каналам за пределами физической защиты.
Аутентификация, идентификация пользователей.

Мир меняется. На всесоюзном совещании стахановцев в 1935 году Сталин закончил свою речь словами: «Жить стало лучше, жить стало веселей». Не вдаваясь в особенности менеджмента той поры, особенно европейского в Африке и юго-восточной Азии, можно с уверенностью сказать что качество жизни в 30-е годы прошлого столетия действительно улучшилось.

Качество жизни улучшилось настолько, что государственные регуляторы СССР впервые смогли сформулировать правила устанавливающие допустимый уровень рисков в различных отраслях деятельности. Именно к сталинскому периоду относиться возникновение единых правил дорожного движения, правил пользования электрической энергией, правил пользования газом, создание системы защиты гражданского населения от аварий природного, техногенного и военного характера.

По мере развития технологий и общества, государственные регуляторы, внося корректировки в свои правила, снижали допустимый уровень рисков. (Это если оставить за скобками споры о том что первично курица или яйцо.) Всё было хорошо и понятно. В любом спорном вопросе можно было положиться на чётко прописанный в правилах критерий допустимого риска.

И вдруг… В некоторых отраслях деятельности государственные регуляторы стали не поспевать за развитием технологий. Ввиду появления новых материалов, новых технологий в строительстве, и конечно же спроса на них, впервые эта ситуация стала заметна в 70..80-е годы прошлого века в такой важной сфере деятельности как противопожарная защита. В СССР напряглись, вложились в НИОКР, и смогли сохранить достаточно простые и понятные правила (НПБ) которыми, хоть и переименованными, переработанными и дополненными мы пользуемся и по сей день. В Европе и США события развивались по другому сценарию, сценарию построенному на балансе риск + компенсирующая мера + страхование. Нигде в EN вы не найдёте какой пожарный извещатель, на какой высоте, какую площадь защищает. Все эти нюансы отданы на откуп производителям оборудования и организациям получившим синекуру оказывать услуги в сфере пожарной безопасности. И все может быть очень даже по разному. Для конечного потребителя этих услуг это означает одно - нужно платить. Даже не понимая точно за что. При этом действительно есть свобода выбора — или больше платить за компенсирующие меры и при этом меньше за страховку, или наоборот. В США можно вообще не тратиться на компенсирующие риски меры, а только на страховку. Наоборот нет.

Эта ситуация докатилась и до России. Но не в сфере пожарной безопасности, а в сфере информационной безопасности. Информационные технологии развиваются настолько стремительно, к тому же Россия в этой сфере деятельности серьёзно отстала, что никакими разумными бюджетными вливаниями переломить ситуацию возможности нет. Информационные злоумышленники до банкротства терзают хозяйствующие субъекты и граждан. Поэтому регулятором были разработаны нормативные документы позволяющие гражданам заранее запрещать себе некоторые действия, а в отношении хозяйствующих субъектов нормативные документы обязывающие их самостоятельно определять степень угроз, самостоятельно разрабатывать и внедрять компенсирующие меры, а регулятор оставил за собой право следить за этим процессом и соглашаться или нет.

Такой подход наименее затратный для регулятора и позволят полностью исключить обвинения в избыточности нормативных требований. Однако пристальное внимание регулятора сосредоточено на состоянии информационной безопасности не всех хозяйствующих субъектов, а только тех, которые по результатам самооценки, являются важными (КИИ) и не платят за компенсирующие меры (не отдали информационную безопасность на аутсорсинг). Остальные как-нибудь сами.

Что касается информационной безопасности АСУТП регулятором выпущен ГОСТ Р МЭК 62443-2-1-2015 (далее просто ГОСТ). В документе подробно рассмотрены все аспекты создания системы управления кибербезопасностью АСУТП. Всё начинается с экономического обоснования и утверждения политики информационной безопасности. Другими словами с подтверждения хозяйствующим субъектом серьёзности предстоящих затрат и письменного согласия их понести. И это правильно - продавец оборудования и услуг информационной безопасности должен понимать потенциал покупателя чтобы не терять время зря.

Эта статья посвящается ситуации, когда хозяйствующий субъект из категории «остальные как-нибудь сами» оказался не интересен продавцу оборудования и услуг информационной безопасности, но у хозяйствующего субъекта есть желание уменьшить риски связанные с информационной безопасностью его АСУТП.

Организационные и технические меры, компенсирующие риски информационной безопасности, хоть и эзоповым языком, перечислены в ГОСТ. Что если попытаться применить все эти меры по-максимуму, пропустив этапы оценки рисков, аудита, экономического обоснования, разработки политики и т.д.? Да, в итоге может получиться некоторая избыточность, но и экономия затрат от пропущенных этапов несомненна. Также учитываем то, что практически все АСУТП за последние несколько лет стали «неподдерживаемыми системами» в определении ГОСТ. Начнём с технических мер, так в последующем будут более понятны меры организационные.

Технические меры:

Физическая защита.
Невозможность подключения к информационным каналам за пределами физической защиты.
Аутентификация, идентификация пользователей.
Взаимная аутентификация программного обеспечения взаимодействующего по каналам связи.
Хранение критической информации при недоступности канала связи или при временном отсутствии электроснабжения.
Техническое ограничение коммуникационных возможностей устройств.
Фильтрация и маршрутизация трафика.

Организационные меры:

Назначение и разграничение прав пользователей, обязательство о не передаче прав.
Контроль доступа физического.
Контроль доступа по информационным каналам.
Графики обновления реквизитов взаимодействующего программного обеспечения.
Графики обновления реквизитов пользователей.
Проверки наличия некопируемых идентификаторов у пользователей.
Ограничение срока действия реквизитов.
Логирование действий пользователей в системе.

Физическая защита.

Установить замок, организовать ключницу, завести журнал выдачи ключей и назначить ответственного не так уж и затратно. Затратнее установка ограждений или искусственных неровностей на полу, чтоб погрузчиком не въехали, обеспечение оболочки не хуже IP54 если шкаф установлен в зоне орошения системы пожаротушения.

Обеспечение невозможности подключения к информационным каналам за пределами физической защиты.

Это требование легко выполнить применив шифрование трафика в каналах связи от физической защиты до физической защиты, то есть VPN. Бессмысленность подключения к полевым шинам легко обеспечить установив пароль на PLC. К тому же если кто-то чужой шарится возле станка это вряд-ли пройдёт незамеченным :)

Аутентификация, идентификация пользователей.

Для доступа к VPN АСУТП желательно использовать комбинацию «знаю» + «имею».

Если насчёт «знаю» тут всё однозначно: логин и пароль, то насчёт «имею» возможны варианты. Хорошо если «имею» нельзя скопировать, то есть это eToken (флешкообразные, некопируемые USB идентификаторы содержащие ключ пользователя). Это немного добавляет суеты: пользователь может его потерять или забыть дома. Или, что хуже, не вынимать никогда. Однако это максимально гарантирует идентификацию личности пользователя. Можно поэкспериментировать с программами имитирующими eToken по лицу пользователя.

Взаимная аутентификация программного обеспечения взаимодействующего по каналам связи.

Контроллер и бизнес приложения при обмене информацией должны представляться друг другу по логину и паролю, даже если общение происходит по шифрованным каналам связи. Для такого общения не очень подходят протоколы полевых шин, можно конечно, но придётся серьёзно надстраивать для взаимной идентификации. Более того, и клиент-серверная архитектура не очень подходит для общения бизнес приложений с контроллером, в виду ограниченности коммуникационных ресурсов контроллера. Предпочтительнее использовать телематический принцип передачи информации, то есть инициирует соединение тот кому есть что сказать.

Хранение критической информации при недоступности канала связи или при временном отсутствии электроснабжения.

Для этого реально применяются два варианта иоба предполагают установку дополнительного оборудования на производственной линии за физической защитой с собственным источником бесперебойного питания. Это или промежуточный сервер опроса и хранения, или брокер MQTT. Очень кстати ГОСТ Р 58603—2019 появился.

Мною также была предпринята попытка организовать промежуточное хранение используя энергонезависимую память контроллера. Предполагал что таким образом удастся отказаться от использования источника бесперебойного питания. Потребовалось несколько дней для осознания того, что по сути я разрабатываю собственный протокол, что я явно делать не должен. Прекратил. Тем не менее этот способ используют счётчики ресурсов, сырья где применены либопроприетарные протоколы, либо открытые протоколы (MODBUS, OPTO22) с собственными существенными надстройками.

Техническое ограничение коммуникационных возможностей устройств.

Случай из практики. На нескольких производственных линиях стояли серверы опроса и промежуточного хранения. Для опроса использовалась технология OPC DA. Как известно, к разработке этой технологии была, к сожалению, привлечена фирма Microsoft. Технология OPC DA глубоко интегрирована в операционную систему Windows. Настолько глубоко, что при очередном изменении архитектуры безопасности операционной системы, Microsoft отказалась от дальнейшей поддержки OPC DA. Упомянутые серверы находились в изолированной сети, но однажды сеть, из-за ошибки администратора сети,перестала быть таковой. Операционные системы серверов увидели обновление, обновились и связь OPC DA отвалилась. Ситуация выглядела как эпидемия, несмотря на то что на всех этих серверах был свежий антивирус. Потребовалось время чтобы осознать что происходит. Поэтому коммуникационные возможности устройств имеющих доступ к сети полезно ограничить. Тем более что это не требует никаких затрат.

Фильтрация и маршрутизация трафика.

На основании вышеизложенного, можно выделить несколько зон нахождения сетевых устройств, зон безопасности:

зоны безопасности производственных линий: контроллеры, панели оператора (иногда вместо панели оператора применяется ПК), VPN роутер. (Бывает и такое что контроллер и роутер может быть одним устройством. Такое устройство существует - ОВЕН ПЛК210. Но это наверное уникальный случай.)
зоны безопасности рабочих ноутбуков персонала АСУТП («дикие» ноутбуки).
зона серверы бизнес приложений
зона офисные пользователи

Больше всего зон безопасности типа производственная линия. Каждая линия это отдельная зона безопасности. Сетевые устройства производственных линий не имеют доступ ни к чему кроме своей сети.

Более чем на порядок меньше зон безопасности типа рабочий ноутбук сотрудника АСУПТ (далее «дикий» ноутбук). Каждый ноутбук сотрубника АСУТП это отдельная зона безопасности со своими правами доступа к зонам производственных линий. То есть только к АСУТП линии которую этот сотрудник обслуживает и больше ни к чему.

Зона безопасности серверов бизнес приложений должна иметь весьма ограниченный доступ к роутерам производственных линий.

Зона безопасности офисные пользователи должны иметь web доступ к серверам бизнес приложений.

На начальном этапе внедрения или для небольших систем возможна маршрутизация встроенными средствами OpenVPN, но это не очень хорошее решение, так как доступные клиенту маршруты могут быть переопределены на клиентской стороне. Это риск. Другие типы VPN вообщене имеют встроенных средств маршрутизации. Поэтому VPN туннели и межсетевые экраны, а-ка таблица запретов и исключений.

Организационные меры информационной безопасности пропущу, они достаточно хорошо описаны в ГОСТ и перейду собственно к описанию реализации технического решения соответствующего поставленной цели. Напомню ещё раз поставленную цель: Создание экономичной системы управления кибербезопасностью (далее CSMS) АСУТП хозяйствующего субъекта информационные системы которого не заинтересовали ни государственного регулятора, ни продавцов средств информационной безопасности. Следует также упомянуть что на начальном этапе, да что там на начальном этапе, порой и сейчас, сталкиваюсь непониманием коллег: «Зачем вообще нужно заниматься такой ерундой как кибербезопасность АСУТП?» Ответана этот вопрос в этой статье не будет.

------------------------------ реализация поставленной цели -------------------------------------

Физическая защита.

Выбор замков, ключниц, бланков журналов достаточно большой. Каждый сам сможет выбрать для себя лучший вариант. Замечу только что замки, по определению, тоже являются частью средств защиты информации. Классов замков 4, а классов защищенности автоматизированных систем 9. Даже если вы приобретёте сертифицированный замок, нарушения в виде несоответствия классов вам не избежать, поэтому стоит ли сильно заморачиваться с выбором замка?

Обеспечение невозможности подключения к информационным каналам за пределами физической защиты.

Невозможность подключения к информационным каналам за пределами физической защиты обеспечивает VPN. На том производстве где я тружусь производственных линий более 50-ти. То есть 50 зон безопасности типа «производственная линия». Решение должно быть легко масштабируемым в рамках бюджета обслуживания, чтобы не нужно было бы готовить пакет документов, выходить на инвестиционный комитет для обоснования необходимости приобретения оборудования CSMS для подключения очередной линии. Однако решение должно иметь возможность стать сертифицированным, в случае если регулятор по результатам самооценки заинтересуется нами. Поэтому в качестве VPN была выбрана OpenVPN, а в качестве операционной системы роутеров зон безопасности «производственная линия» (далее объектовых роутеров) OpenWRT. Потому что этот комплект имеет сертифицированный аналог.

Идея проста как кизлярский нож. На wan интерфейсе объектового роутера правило для входящего трафика reject или drop, форвардинга в другие зоны фаейрвола нет, drop. Таким образом пока сам объектовый роутер не установит связь сервером VPN его wan интерфейс абсолютно "глухой" порт. Сниферить трафик тоже бесполезно поскольку VPN использует шифрование как на этапе установления соединения, так и в процессе работы.

В качестве аппаратной платформы объектовых роутеров выбраны TP-Link TL-WR841N v13, TL-WR842N v3, TL-WR842N v5. На момент начала работ над CSMS АСУТП актуальной версией OpenWRT была 18.06. Сейчас используется самая свежая на сегодня версия 23.05. Версия 23.05 не является рекомендованной для данной аппаратной платформы, в виду возможной нехватки памяти из-за увеличившегося ядра linux и количества компонентов в базе, однако не все базовые компоненты для достижения поставленной цели нам необходимы и от них можно отказаться. Благо на сайте OpenWRT нынче можно легко создать кастомную прошивку с желаемым набором компонентов. Для достижения поставленной цели не требуется поддержка IPv6, USB и Wi-Fi поэтому удаляем всё что с этим связано. И добавляем те пакеты которые нам понадобятся openvpn-mbedtls. Поддержка mbedtls у OpenWRT версии 23.05 в базе. Так же полезно luci-app-openvpn, исключительно для удобства в некоторых случаях. И добавляем пакет mosquitto-nossl, о его использовании речь пойдет далее. Скачиваем эту кастомную прошивку и устанавливаем на нашу аппаратную платформу. Если всё сделано правильно то на устройстве должно остаться более 40% свободной памяти.Даже от Wi-Fi можно не отказываться если предполагается использование Wi-Fiв качестве uplinka или для организации беспроводной связи с подвижными частями производственной линии. В этом случае остаётся не менее 35% свободной памяти. Это более чем достаточно для стабильной работы устройства. Но если у вас предполагается использование USB порта на объектовом роутере, скажем для:

организации виртуального COM-порта посредством USB-Com адаптера
организации аудио переговорного устройства посредством внешней USB аудиокарты
в качестве uplink-а предполагается использование LTE модема
всё вышеперечисленное вместе (с применением внешнего USB хаба)

то лучше в качестве прошивки выбрать OpenWRT v19.x. иначе памяти может не хватить.

Именно из-за многофункциональности промышленный объектовый роутер в иностранной литературе часто называют industrial edge server (IES).

Тут есть один нюанс. Внимательно смотрим на набор базовых пакетов прошивки, а именно есть ли шифрование для выбранной прошивки в базе и какое именно. Всего есть три варианта: wolfssl, mbedtls, openssl. Использующий такое же шифрование нужно устанавливать OpenVPN иначе будет установлен дополнительно пакет шифрования без которого можно обойтись. Если в базе шифрования нет, ставим openvpn-mbedtls. Меньше всего места занимает, но игнорирует pkcs11 утилиты. Реквизиты можно конечно применять и упакованные .pfx, .ovpn но использование их потребует установки утилит pkcs11, поэтому, для экономии памяти, лучше распаковать и использовать отдельные сертификаты и ключ. Соответственно pkcs11 утилиты не понадобятся. Что касается выбора алгоритмов шифрования то следует ориентироваться на 256 битные, так как сравнительные тесты со 128 битными на выбранной аппаратной платформе не выявили лидера, может быть потому что трафик АСУТП существенно меньше в сравнении с любым мультимедиа трафиком.

Первая, тестовая версия CSMS АСУТП мной была создана на основе NAS Synology в качестве центра поддержки VPN. Пакет OpenVPNесть наверное у всех NAS и у многих роутеров и продвинутых роутеров. Что понравилось в OpenVPN от Synology так это удобный лог и администрирование пользователей. А не понравилось то, что нет в web-интерфейсе OpenVPN поддержки сетей и соответственно поддержки маршрутизации между ними. Это приходилось доконфигурировать через терминальное подключение. (если это кому-то интересно, то это может быть темой отдельной публикации) В качестве uplink-a использовался Wi-Fi интерфейс роутеров, благо покрытие Wi-Fi в цехах хорошее. Отдельный SSID с фильтрацией по MAC. Перенос центра поддержки VPN в недра IT-инфраструктуры состоялся несколько позже, на что-то под управлением RouterOS. Опять же исключительно для удобства. Также со временем беспроводный uplink был заменён на проводной на всех объектовых роутерах. Но объектовые роутеры так и остались с установленными наружу антеннами.

VPN доступ к зонам безопасности «производственная линия» требует чтобы у каждой производственной линии была своя сеть. Многие производители страдают отсутствием фантазии и поэтому используют сеть 192.168.1.0/24 которой принадлежит IP адрес контроллера Siemens «из коробки». Это печально. В трёх случаях столкнулся с невозможностью сменить IP адрес на хосте в составе производственной линии. Два способа обхода этой ситуации возможны:

раздробить встроенный коммутатор объектового роутера чтобы сделать персональную сеть для этого хоста и NAT между сетями,
в том случае если этот хост АРМ на ПК, виртуализировать его и сделать NAT средствами среды виртуализации.

Аутентификация, идентификация пользователей.

Что же касается зоны безопасности «диких ноутбуков» специалистов АСУТП то они подключаются к VPN по Wi-Fi, отдельный SSID с фильтрацией по MAC, отдельный VLAN. Это в некоторой степени самый экономичный вариант реализации принципа «имею не копируемое», так как злоумышленнику, если он узнает комбинацию SSID, логин, пароль, придётся также изменить MAC адрес Wi-Fi карты своего ноутбука, а это непростая задача, к тому же надо знать на какой именно нужно его поменять.

То что беспроводный доступ к АСУТП производственных линий авторизованному персоналу нужен даже не ставиться под сомнение, так как производственные линии могут быть протяжённостью десятки и даже сотни метров. Мало ли где могут возникнуть проблемы требующие непосредственного наблюдения? Безусловно нужно иметь возможность свободно перемещаться.

Ноутбуки специалистов АСУТП я называю «дикими» потому что внутри каждого из них живёт куча виртуалок которые они администрируют самостоятельно. К сожалению в современных реалиях по другому никак.

В остальном всё как обычно, вход у пользователей на устройство которое они используют RADIUS аутентификация. Доступ к хранилищу резервных копий тоже.

Взаимная аутентификация программного обеспечения взаимодействующего по каналам связи.

Всё программное обеспечение где есть возможность аутентификации, должно использовать эту возможность. Стандарт MQTT имеет такую возможность. Именно для этого в объектовый роутер добавлялся пакет брокера mosquitto. При помощи MQTT можно отказоустойчивым способом передавать данные как групповые, например о выпущенной линией партии продукции так и, например, текущие аналоговые параметры. Для всех типов контроллеров Siemens соответствующие программные блоки разработаны самим производителем, мне потребовалась лишь некоторая их адаптация. Ссылки в приложениях. Есть средства поддержки MQTT у B&R, да и у того же ОВЕН. С азиатскими производителями сложнее, но можно, например, заменить панель оператора на ту которая поддерживает MQTT. У Weintek это панели серий cMT и MT-XE. Есть панели с поддержкой MQTT у GE, а именно у HAKKO (Fuji).

Хранение критической информации при недоступности канала связи или при временном отсутствии электроснабжения.

Протокол MQTT имеет такую возможность. Остаётся только обеспечить брокер MQTT бесперебойным питанием. Выбранная аппаратная платформа потребляет ток по питанию менее 150 мА при напряжении питания 12 В. Поскольку источники бесперебойного питания на 12В используются в противопожарной автоматике их выбор огромный. Даже с аккумулятором 7 Ач это не менее полутора суток информация будет храниться.

Техническое ограничение коммуникационных возможностей устройств.

Первое что необходимо сделать, если это ещё не сделано, удалить сконфигурированный адрес шлюза у всех сетевых устройств на линии, чтобы у них «даже в мыслях не было» куда-то «пойти». При этом на объектовом роутере маскарадинг настраивается внутрь, то есть не так как обычно, а наоборот. А как же точное время по NTP? А его раздаёт объектовый роутер.

Изолировать хосты друг от друга можно также масками, например если необходимо чтобы какой-нибудь хост ни при каких обстоятельствах не был доступен из вне.

И небольшое напоминание о требовании регулятора о том чтобы сети ПАЗ были изолированными.

Фильтрация и маршрутизация трафика.

Про фильтрацию и маршрутизацию трафика между зонами безопасности я пожалуй тоже пропущу, скажу лишь то, что в информационной инфраструктуре предприятия уже были необходимые компоненты от фирмы которая в рекламе не нуждается. Ничего дополнительно приобретать не пришлось.

Заключение.

Система CSMS АСУТП это может быть не очень затратно, даже если максимизировать технические требования. Полезность CSMS АСУТП сложно доказать, ибо аргумент «а у нас и так ничего не случалось» перебить сложно. Однако полезность есть, так как остаются следы кто, когда и куда «ходил» для «разбора полётов» если всё-таки что-то случиться. Можно даже и «зачем» приобщить, если найдутся средства на соответствующий анализатор. В последнее время это очень важно, так как именно человеческий фактор приобретает особое значение.

Плюс также в том, что прекратилась «беспроводная война» за ограниченный частотный ресурс в диапазоне 2,4 ГГц.

PS: С удивлением узнал что на некоторых предприятиях внедряя CSMS АСУТП строят наложенные сети связи. Интересно зачем? ГОСТ такого требования не содержит.