Найти в Дзене
IT, HR, экономика, управление, психология, жизнь
74 подписчика

Усовершенствования в безопасности АСУ ТП

8 мин
Для цитирования: Алёшин И.В., Кортенко Л.В. Усовершенствования в безопасности АСУ ТП // Цифровая трансформация общества и информационная безопасность. Материалы II Всероссийской научно-практической конференции . Отв.за выпуск А.Ю. Коковихин, отв. редактор М.А. Панов. Екатеринбург, 2023. С. 28-33. Аннотация. Рассмотрены подходы к управлению информационной безопасностью АСУ ТП промышленного объекта. Описаны последствия от реализации угроз информационной безопасности на разных уровнях комплексной модели объекта автоматизации. Ключевые слова: АСУ ТП; интеллектуальная система управления; критическая инфраструктура; объект управления; цифровая модель; SCADA. Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в машиностроении, металлургии, топливно-энергетической и химической промышленностях, лесной (деревообрабатывающей и бумажной), легкой, пищевой и стройматериалов, здравоохранения, науки, транспорта, связи, банковской и финансового сек-то

Для цитирования: Алёшин И.В., Кортенко Л.В. Усовершенствования в безопасности АСУ ТП // Цифровая трансформация общества и информационная безопасность. Материалы II Всероссийской научно-практической конференции . Отв.за выпуск А.Ю. Коковихин, отв. редактор М.А. Панов. Екатеринбург, 2023. С. 28-33.

Аннотация. Рассмотрены подходы к управлению информационной безопасностью АСУ ТП промышленного объекта. Описаны последствия от реализации угроз информационной безопасности на разных уровнях комплексной модели объекта автоматизации.

Ключевые слова: АСУ ТП; интеллектуальная система управления; критическая инфраструктура; объект управления; цифровая модель; SCADA.

Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в машиностроении, металлургии, топливно-энергетической и химической промышленностях, лесной (деревообрабатывающей и бумажной), легкой, пищевой и стройматериалов, здравоохранения, науки, транспорта, связи, банковской и финансового сек-торов, атомной энергии, оборонной и ракетно-космической промышленности принадлежат к субъектам критической информационной инфраструктуры, на которые распространяется Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», вступивший в силу с 1 января 2018 г. На рис. 1 представлены охваченные вниманием отрасли одной из компаний, занимающихся информационной защитой. В то же время, несмотря на очевидный прогресс в нормативном обеспечении, задача практического обеспечения информационной безопасности информационных систем критически важных объектов (представленных выше отраслями экономики России), и в первую очередь обеспечения безопасности АСУ ТП (автоматизированных систем управления технологическими процессами), на настоящий момент не имеет удовлетворительного решения.

Существует несколько подходов к управлению информационной безопасностью АСУ ТП промышленного объекта [Автоматика, автоматизация и автоматизированные системы управления технологическим процессами: вопросы и задания к практическим занятиям для студентов специальностей 1-46 01 01 «Лесоинженерное дело», 1-46 01 02 «Технология деревообрабатывающих производств», 1-36 05 01 «Машины и оборудование лесного комплекса», 1-08 01 01 «Профессиональное обучение», направление специальности 1-08 01 01-04 «Профессиональное обучение» (деревообработка) / сост.: Д. С. Карпович, О. Г. Барашко. Минск: БГТУ, 2013. 70 с.]. Систематизация их содержаний позволяет выделить следующие.

Далее стр.29:

Рис. 1. Сферы, на которые распространяется ФЗ № 187 [В фокусе: 187 ФЗ // Информзащита. Системный интегратор. URL: https://www.infosec.ru/glavnye-temy/187-fz]
Рис. 1. Сферы, на которые распространяется ФЗ № 187 [В фокусе: 187 ФЗ // Информзащита. Системный интегратор. URL: https://www.infosec.ru/glavnye-temy/187-fz]

1. Подход на основе рисков основан на идентификации и анализе угроз безопасности: оценке их вероятности, процесса и последствий воздействия на систему, формулировании необходимых и достаточных мер для устранения или снижения прогнозируемых рисков до приемлемого уровня.

2. Подход на основе стандартов заключается в опоре на существующие стандарты информационной безопасности для разработки и внедрения мер по защите АСУ ТП. Например, подход с использованием стандартов ISO 27001 и IEC 62443 был осмыслен авторами при переводе информации о работе американской компании «Феникс Контакт» и представлен на рис. 2.

3. Подход на основе жизненного цикла предполагает интеграцию мер по информационной безопасности на всех этапах жизненного цикла АСУ ТП: от проектирования и разработки до эксплуатации и снятия с эксплуатации.

Далее стр.30:

Рис. 2. Разграничение зон регламентирования по стандартам ISO 27001 и IEC 62443 [IEC 62443 – the industrial cybersecurity standard // PheonixContact. URL: https://www.phoenixcontact.com/en-us/iec-62443-the-industrial-cybersecurity-standard ]
Рис. 2. Разграничение зон регламентирования по стандартам ISO 27001 и IEC 62443 [IEC 62443 – the industrial cybersecurity standard // PheonixContact. URL: https://www.phoenixcontact.com/en-us/iec-62443-the-industrial-cybersecurity-standard ]

4. Подход по непрерывности бизнеса исходит из постоянности протекания бизнес-процессов, даже при случаях нарушений информационной безопасности. Он включает в себя разработку планов восстановления после катастрофы для продолжения бизнеса.

5. Подход на основе обучения и осведомленности предполагает повышение обученности и осведомленности сотрудников о мерах по информационной безопасности и их роли в обеспечении безопасности АСУ ТП.

Комбинация этих подходов может обеспечить создание наилучшей системы защиты АСУ ТП промышленного объекта от угроз информационной безопасности.

Оценка существующих решений в обеспечении безопасности в АСУ ТП в России может быть довольно сложной задачей, поскольку это зависит от многих факторов, таких как использование конкретных технологий, уровень подготовки персонала, законодательные и нормативные требования и тому подобное. Однако можно выделить несколько аспектов, которые помогут характеризовать текущее состояние безопасности АСУ ТП в России.

1. Законодательство и нормативные требования отражены в документах, регулирующих обеспечение безопасности АСУ ТП, в том числе:

Далее стр.31:

Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», Федеральный закон «Об информации, информационных технологиях и о защите информации». Однако, не всегда происходит строгое соблюдение этих требований, что может негативно сказаться на безопасности АСУ ТП.

2. Технологии и методы защиты. В России существует ряд компаний, которые занимаются разработкой и внедрением технологий и методов защиты для АСУ ТП. Однако, не все компании могут предоставить эффективные решения, учитывающие все особенности конкретной системы и технологического процесса. Крупнейшие поставщики решений в области информационной безопасности в Российской федерации, выявленные по параметру выручки за 2021 г. представлены на рис. 3.

Рис. 3. Выручка крупнейших поставщиков программного обеспечения по информационной безопасности на рынке России, млн р. [Информационная безопасность (рынок России) // Tadviser.ru. 2023. 19 мая. URL: https://www.tadviser.ru/index.php/Статья:Информационная_безопасность_(рынок_Росии).]
Рис. 3. Выручка крупнейших поставщиков программного обеспечения по информационной безопасности на рынке России, млн р. [Информационная безопасность (рынок России) // Tadviser.ru. 2023. 19 мая. URL: https://www.tadviser.ru/index.php/Статья:Информационная_безопасность_(рынок_Росии).]

Данная аналитика была представлена вначале января 2023 г. информационно-аналитическим порталом по применению информационных технологий в государстве и бизнесе. Отметим, что по приведенной статистике в отрасли информационной безопасности для предприятий критической инфраструктуры присутствует явный лидер. По данным

Далее стр.32:

Тadviser, «Лаборатория Касперского» с отрывом более, чем в два раза или на 60 % больше, чем следующий за ней SoftLine и с динамикой +9,1 % по отношению к предшествовавшему 2020 г. продала своих услуг на сумму 55388 млн р., т.е. около 15 млн лицензий на разные варианты антивируса для бизнеса или семьи.

3. Уровень подготовки персонала в целом на производственно-промышленном предприятии и специалистов по обеспечению безопасности АСУ ТП, в частности, оценивается как не всегда достаточный по квалификации и опыту работы. Низкий уровень подготовки персонала может привести к недостаточной защите системы, а для его повышения требуется не только профессиональное образование, но и стажировки на других предприятиях и поддержка профессионального общения специалистов. Реализации двух последних рекомендаций авторов противодействует конкурентная ситуация предприятий на рынке труда.

4. Уровень угроз и рисков. В России существует ряд угроз для АСУ ТП, таких как кибератаки, внутренние угрозы, несанкционированный доступ и т.д. Уровень угроз и рисков зависит от многих факторов, в том числе таких как: отрасль, тип системы, используемые технологии и т.д.

В целом, можно сказать, что существующие решения в обеспечении безопасности в АСУ ТП в России имеют свои преимущества и недостатки. Среди преимуществ можно отметить наличие законодательной базы и компаний, занимающихся разработкой и внедрением технологий и методов защиты, а также наличие специалистов по обеспечению безопасности. Однако, существует ряд недостатков, таких как низкий уровень подготовки персонала, недостаточное соблюдение законодательных и нормативных требований и недостаточная адаптация технологий и методов защиты к конкретным системам и технологическим процессам.

Для улучшения ситуации в обеспечении безопасности по состоянию, развитию и использованию АСУ ТП в России необходимо уделять большее внимание повышению квалификации специалистов по обеспечению безопасности, а также обновлению и соблюдению законодательной базы и нормативных требований. Также необходимо учитывать специфику отрасли, конкретных систем и технологических процессов при разработке и внедрении технологий и методов защиты.

Угрозы информационной безопасности могут повлиять на разные уровни комплексной модели объекта автоматизации и иметь различные последствия.

1. Уровень производственных процессов. Нарушения информационной безопасности на этом уровне могут привести к отказам в работе оборудования, нарушениям технологических процессов и остановке

Далее стр.33:

производства, что приведет к снижению производительности, ухудшению качества продукции и убыткам для компании.

2. Уровень сетевой инфраструктуры. Нарушения информационной безопасности на этом уровне могут привести к недоступности сетевых ресурсов, утечкам конфиденциальной информации, нарушению работы удаленных пользователей, что может привести к снижению эффективности работы сотрудников, ухудшению репутации компании и убыткам.

3. Уровень программного обеспечения. Нарушения информационной безопасности на этом уровне могут привести к внедрению вредоносного ПО, нарушению целостности и конфиденциальности данных, что ведет к утрате важной информации, снижению доверия клиентов, убыткам и негативным для предприятия правовым последствиям.

4. Уровень управления. Нарушения информационной безопасности на этом уровне могут привести к нарушению процессов управления, утечке конфиденциальной информации, взлому системы управления и, как следствие, к потере контроля над производством, ухудшению репутации компании и негативным для предприятия правовым последствиям.

В целом, нарушения информационной безопасности на любом уровне комплексной модели объекта автоматизации снижают эффективность работы предприятия в целом, что выражается убытками и правовыми последствиями для компании, а также расширением потенциальной угрозы безопасности персонала и окружающей среды. Поэтому важно проводить регулярный аудит, оценку и не только разрабатывать, но и внедрять меры улучшения и совершенствования информационной безопасности на всех уровнях объекта автоматизации.