Вадим Подольный, заместитель генерального директора Московского завода «Физприбор»: «Надо развивать культуру безопасности, тестирования и контроля»
Лид//Московский завод «Физприбор» был создан в 1942 г. для разработки средств контроля и измерения различного назначения, с 1980-х гг. занимается разработкой комплексов АСУ ТП для нужд атомной энергетики. В 2018 г. бизнес АСУ ТП стали активно развивать в других отраслях. Компания придерживается консервативных подходов к информационной безопасности, поэтому мы решили задать несколько вопросов выразителю этих идей – заместителю генерального директора завода Вадиму Подольному.
– Что происходит в России и мире на рынке АСУ ТП?
– В мире есть много крупных компаний, таких как Siemens, ABB, General Electric, у которых есть готовые решения «на все случаи жизни». Все они выпускают качественное оборудование, но ограничены в ресурсах по созданию инновационных технологий. Им разрабатывать новые технологии достаточно сложно, поскольку у них огромное количество клиентов, перед которыми есть различные контрактные обязательства. Если посмотреть на решения, которые применяются сейчас крупными вендорами, нельзя сказать, что они суперсовременные – просто нормальные проверенные технологии, которые устанавливаются на объекты автоматизации.
В России новые компании, у которых нет ответственности перед старыми проектами, растут как грибы и сразу начинают заниматься разработками новых технологий и подходов. Поэтому наша страна быстро продвигается в создании новых технологий, например в области программного обеспечения для систем верхнего уровня и аппаратного обеспечения. У нас немало предприятий, в том числе в гражданской и военной промышленности, которые могут и умеют выпускать наукоемкую продукцию.
Сейчас в структурах ОПК ставится задача диверсификации военного бизнеса на гражданский. Все понимают, что государство должно быть самоокупаемым. Если тратить деньги на военные разработки, то через какое-то время они должны монетизироваться «на гражданке». Того количества электроники, которое мы умеем делать для военного применения, вполне достаточно для развития соответствующих гражданских направлений. Прежде всего это относится к созданию систем автоматизации.
На мой взгляд, мы можем неплохо зарабатывать на современных разработках. У нас есть интеллект, инженеры, производство. Это та самая «цифровая нефть», которая может быть востребована по всему миру. Объем автоматизации и потребности в энергоресурсах в промышленности растут неимоверными темпами. В мире места хватит всем, в том числе российским компаниям и производителям.
В качестве примера можно рассмотреть основное наше направление – атомную энергетику. Сейчас Россия строит АЭС за рубежом – в Турции, Египте, Индии, Бангладеш, Финляндии, Венгрии. Планируются еще стройки, количество контрактов будет увеличиваться в любом случае, потому что мировые потребности в надежном электроснабжении растут. Для удовлетворения возросшего спроса на электроэнергию подходит только АЭС – ничего другого, столь же энергоемкого и эффективного, не придумали. Для каждого такого объекта нужно делать современную автоматику – АСУ ТП.
У Московского завода «Физприбор» не очень много эксплуатируемых объектов, которым нужно обеспечивать поддержку, в отличие от западных крупных вендоров. У нас есть специальные решения по переводу старых клиентов на новые технологии. Мы начали заниматься АСУ ТП в 1980-х гг. с проектов для АЭС: управляющие контроллеры, жесткая и программно-определяемая логика. Датчики в нашей линейке появились только в 2019 г. с интеграцией в бизнес соответствующего конструкторского бюро волоконно-оптических систем, а также появились системы верхнего уровня и соответствующее программное обеспечение.
– Какие тенденции существуют на рынке информационной безопасности АСУ ТП?
– Сейчас возникла такая тенденция: любой вред, который нанесен промышленному объекту, если в нем стоит современная информационно-управляющая система, объяснять действиями хакеров. Проблема с безопасностью заключается в том, что компании, занимающиеся информационной безопасностью, превратились в «легализующие центры», которые берут на себя ответственность по доказательству того, что аппаратное и программное обеспечение спроектировано качественно, но было атаковано вредителями. Производители обращаются в такие лаборатории, платят деньги, чтобы всем сказали, что виновато не конструкторское бюро, у которого миллиардные контракты, или эксплуатация, а неизвестные хакеры. Таким образом, те, кто вложил средства в создание некачественных систем, уходят от ответственности.
Важно отметить: раз вредоносное ПО чаще проявляется в ОС Windows – ну так не ставьте Windows в АСУ ТП! Если люди принимают решение ставить бытовую операционную систему в объект автоматизации, то и получают проблемы. Где-нибудь в лицензии Windows написано, что это система для промышленности? Устанавливая Windows в промышленную систему, вы нарушаете азы безопасности.
Уязвимости и ошибки действительно есть, и люди их находят, но в данном случае такие исследовательские ИБ-компании решают задачи, которыми должны заниматься службы тестирования производителей ПО и оборудования, конструкторы АСУ ТП, т. е. специалисты самого предприятия вендора. Если бы производители набирали нормальных разработчиков и тестировщиков, проверяли свои разработки, вкладывали деньги в тестирование, то у компаний по защите информации не было бы работы.
– А что можно сделать для обеспечения безопасности промышленных объектов?
– Надо развивать культуру безопасности, тестирования и контроля. Вот есть ФСТЭК. Как, например, его лаборатории могут проверить алгоритм, разработанный для управления реактором? Если алгоритм неправильный, то и объект управления будет вести себя непредсказуемо. Есть замечательные изменения в российском законодательстве. К примеру, с 1 сентября 2018 г. введена обязательная экспертиза программ для ЭВМ, используемых для расчетного моделирования процессов, влияющих на безопасность ядерных установок. Это Федеральный закон от 23 мая 2018 г. № 118-ФЗ «О внесении изменений в статью 26 ФЗ «Об использовании ядерной энергии». Что это означает? Оказывается, расчетное ПО – не только для ядерных установок, но и для тех же самолетов – содержат различные алгоритмы математического и физического моделирования. Расчетные коды, которые применяются в российской промышленности, могут содержать измененные алгоритмы моделирования, которые в дальнейшем либо делают расчет некорректным, либо ухудшают качество изделия, спроектированного с его помощью. Это очень неприятно, потому регуляторы хотят, чтобы ПО для моделирования было отечественным, а алгоритмы соответственно верифицированы и поверены. Вот это и есть настоящая информационная безопасность в АСУ ТП. Потому что если ты неправильно просчитал технологический процесс, который происходит в установке, то какой офицер службы безопасности или работник регулятора сможет обеспечить верификацию алгоритма расчета технологического процесса, если он не является специалистом в данной области? Именно здесь корень зла, а не какие-то мнимые хакеры. Если уязвимость реализована на уровне моделирования, то найти ее невозможно специалисту по ИБ, а она заложена в неправильную конструкцию установки, алгоритмы управления технологическими процессами и др.
В любом случае безопасность АСУ ТП начинается с моделирования, а не с автоматики, как многие считают. Все серьезные и тяжелые аварии, которые происходили, в том числе Три-Майл-Айленд, Чернобыль, Фукусима, связаны с ошибками проектирования, и поэтому они называются «запроектные» аварии. Это относится не только к атомной энергетике. Все инциденты, в том числе в тепловой и гидроэнергетике, связаны с ошибками в изначальной конструкции, проекте, при строительстве или модернизации. Они закладываются на уровне алгоритмов людьми, которые принимают участие в проектировании и разработке, внедрении и вводе в эксплуатацию новых объектов. Вот эти ошибки и проблемы намного серьезнее, чем «волшебные хакеры», которые могут напугать всех зловредным ПО с громкими названиями. Не было ни одного серьезного подтвержденного инцидента, который был бы инициирован хакерами на основательно выверенных и проектно-защищенных системах.
– Как построить безопасную систему для АСУ?
– Необходимо полностью контролировать все используемые технологии – от контроллеров и прошивок до BIOS, от управляющих операционных систем до программного обеспечения. Если вы взяли даже иностранную ОС, получили ее исходные коды, провели сертификацию на НСД, НДВ в требуемой системе сертификации определенного регулятора согласно всем правилам, то это лучше, чем если у вас стоит аналогичная российская разработка, которая не прошла подобную сертификацию. Безопасно использовать ту разработку, которая имеет сертификаты, даже если она иностранная и не входит в реестр отечественного ПО.
Сертифицировать нужно не только схемотехнику и процессор, но и прошивки остальных устройств, входящих в состав изделия. Необходимо полностью проверять и ОС, и библиотеки ПО, и компиляторы, которые используются для сборки ПО.
Для упрощения той же процедуры сертификации в России должны появиться компетенции по участию в разработке таких систем. Хорошим примером является компания Postgres Professional, где есть несколько контрибьюторов – людей, имеющих право вносить изменения в ключевой исходный код продукта. Эти разработчики знают, как устроен продукт, умеют доказывать, что продукт безопасен. Такие же компетенции должны появляться и в других проектах, в том числе в открытых проектах платформ АСУ ТП. Мы должны стать частью международного сообщества, иметь квалификацию и компетенции в тех технологиях, которые применяем на объектах КИИ.
Вопрос безопасности заключается в комплексном подходе и особенно – в глубоком понимании архитектуры и устройства используемых технологий.
– А как вы относитесь к использованию открытых технологий в АСУ?
– Сейчас пробуют ставить в АСУ ТП Astra Linux, ОС для военных офисных работников, но точно не для АСУ ТП. Есть сертифицированный QNX – разработка компании «СВД Встраиваемые системы» под названием «Нейтрино». Мы используем именно эту операционную систему, поскольку она сертифицирована ФСТЭК, Министерством обороны и изначально проектировалась под АСУ ТП. Компания портировала ее на архитектуру «Эльбрус», а это говорит о том, что у нее есть серьезные компетенции в продукте, т.е. компания контролирует данную разработку и код.
Есть и другие ОС, в том числе на основе Linux. Если самим контролировать сборку и убрать из нее все лишнее, то можно в определенной степени гарантировать безопасность и надежность. Мы собираем свой дистрибутив на базе сертифицированной версии ALT. Просто убираем оттуда все лишнее, конфигурируем согласно своим требованиям и обеспечиваем сохранение сертификата. Сейчас идет работа в названном направлении. Мы взяли разработку «Базальт СПО», потому что у этого дистрибутива наиболее подходящие сертификаты, а также удобные и максимально прозрачные средства сборки конечного дистрибутива.
Для современных АСУ ТП нужны технологии безопасной передачи данных, свой защищенный транспорт. Мы разработали решение для организации безопасного транспорта между узлами АСУ ТП (серверами, контроллерами, рабочими станциями и др.). Решение может работать на любом устройстве, а может быть реализовано аппаратно. Совокупно создаются опорные узлы, объединяемые в кластер реального времени. Кластер синхронизируется разработанным нами протоколом четвертого уровня, работающим поверх TCP/IP. Для него разработаны мультикаст и юникаст транспорт, с подтверждением или без, с несколькими режимами модификации переменных: ненадежным («положил и забыл»), надежным (с некоторыми гарантиями) и транзакционным (гарантирующим доставку). Кластер постоянно синхронизируется и поддерживает в актуальном состоянии слепок памяти на всех узлах автоматически. Где бы ни происходило изменение, на всех остальных узлах, согласно правилам разграничения доступа, изменение будет синхронизировано. Таким образом, разработчик работает с локальной памятью и не допускается к сетевому программированию, в котором наиболее часто могут возникать ошибки (т. е. он не навредит кластеру в целом). Кластер поддерживает алгоритмы параллельных вычислений на синхронизируемых переменных (без MapReduce). Такая технология носит название CoreShock и является практически распределенной базой данных реального времени в памяти (in memory), но это специализированная СУБД для АСУ ТП, поскольку в ней не хранятся сложные структуры, а только числа, которые меняются, и идентификаторы объектов, к которым они относятся. Все метаданные хранятся в обычных СУБД, например PostreSQL или ClickHouse. Шифрование в кластере мы не обеспечиваем, но у нашей компании есть партнер – «Инфотекс», мы используем их сертифицированные решения для шифрования трафика. У нас есть возможность прямо с нашего контроллера взаимодействовать напрямую с инфраструктурой линейки продуктов VipNet. Таким образом, шифрование своих программных систем мы строим вокруг этой технологии.
– Каков оптимальный уровень локализации?
– Что мы точно можем делать? Проектировать схемотехнику, платы и процессоры, но сама электронно-компонентная база (ЭКБ) однозначно не отечественная – мы не можем создавать самостоятельно все компоненты ЭКБ. Можем разрабатывать ПО, участвовать в проектах с открытыми исходными кодами. Несомненно можем конкурировать на рынках Азии, Ближнего Востока, Африки, Южной Америки и даже Китая.
Полное импортозамещение нереально, да и неправильно. Например, американцы не ставят себе задачу импортозамещения титана, они с удовольствием покупают российский. Мы должны уметь проектировать схемотехнику и процессоры, если не можем построить фабрики. Мы обязаны уметь проверить то, что запроектировали, и то, что нам изготовили. В мире есть одна контрактная фабрика, которая производит процессоры на заказ, – TSMC, все остальные фабрики работают на внутренние мощности. Зачем строить такую фабрику в России, сможем ли мы ее окупить, целесообразны ли такие вложения?
– Какие преимущества и ограничения есть у наложенных средств защиты?
– Когда мы проектируем и разрабатываем свои коды, то стараемся тестировать продукты таким образом, чтобы ошибки типа переполнения буфера или возможности встраивания в код вредоносных функций просто не возникали (Secure By Design). Безопасность современных систем управления должна быть продумана на этапе их проектирования.
В АСУ ТП циркулирующая информация уже через секунду не представляет никакой ценности, такая информация нужна лишь для дальнейшего анализа, но для управления «здесь и сейчас» в ней нет необходимости. И даже если информацию из АСУ ТП кто-нибудь украдет, технологический процесс не пострадает. В АСУ ТП задача построения ИБ заключается в обеспечении доверия к информации с датчиков, контроллеров и прочему оборудованию. Задача обеспечения гарантии, что оборудование не зависнет, не выйдет неожиданно из строя, не заблокирует и не перегрузит сеть во время эксплуатации. Современные технологии АСУ ТП требуют прежде всего обеспечения культуры безопасности на каждом этапе жизненного цикла: на этапе идеи, проектирования, прототипирования, разработки, ввода в эксплуатацию, ремонта, иногда даже на этапе вывода из эксплуатации, что важно для объектов атомной энергетики. Каждый этап должен иметь свои модели угроз, модель нарушителя, модель защиты, которые отличаются, а при смене этапа должны быть соответствующие регламенты перехода. В целом объекты АСУ ТП можно защищать как угодно, но если кто-нибудь захочет нарушить технологический процесс, то он его обязательно так или иначе нарушит, если в этом участвует человек.
Поэтому на АЭС системы защиты АСУ ТП работают без участия человека, фактически лишая его права управления в критической ситуации, что блокирует возможность аварии. Такие системы переключат оборудование в требуемый режим, подключат резервное электроснабжение, будут прокачивать теплоноситель через реактор без участия человека.
– Какие тенденции существуют на рынке безопасности АСУ ТП?
– Чем больше объектов, тем выше вероятность наступления аварий, поэтому нужно переходить к стандартизации управления и снижению влияния человеческого фактора. В будущем такие объекты должны работать без человека, быть полностью автономными. Наступает эра автономного автомобиля, а создать автономную систему управления для АЭС проще, чем автопилоты для машины. Сначала операторы превратятся в супервизоров, которые будут просто наблюдать за процессом. Потом операторов выведут за пределы объекта автоматизации (блока), затем они будут управлять несколькими блоками из удаленного диспетчерского центра. Следующий этап – полное безлюдное производство.
Все аварии, которые происходили в АСУ ТП, связаны в основном с человеческим фактором. Следовательно, самое важное для обеспечения безопасности – убрать человека как фактор риска. Это означает, что объект автоматизации нужно подключить к сети. Для того чтобы наступило такое «светлое будущее», нужна отдельная выделенная сеть для управления. В частности, сейчас поговаривают о создании отдельного Интернета для военных. У них должны быть отдельные каналы связи, частоты, средства шифрования.
Я сторонник того, чтобы те объекты автоматизации, где существует риск возникновения серьезных проблем, были изолированы и контролировались. В АСУ ТП для работы промышленных объектов потребуется отдельная сеть, изолированная от бытового Интернета, и такие сети уже существуют. 5G станет бытовой технологией, но будут отдельные компоненты, которые будут использоваться МЧС, Министерством обороны, промышленностью.
Сейчас правительство дает указания по диверсификации ОПК в гражданку, эта задача стоит на уровне государства. Таким образом, никто не будет мешать, чтобы на серьезных объектах автоматизации, куда невозможно протянуть кабель, – на Крайнем Севере, на шельфе и пр. – использовать эти проверенные и надежные технологии связи. Их можно использовать и под водой (связь для подводных лодок). Уже есть промышленные бизнес-проекты, где необходимо под водой передавать информацию. Военные технологии в АСУ позволят уйти от открытых сетей и повысить общую защищенность.
– Насколько необходима безопасность для промышленного Интернета вещей?
– При вводе в эксплуатацию технологий 5G в сети появится большое количество объектов промышленного Интернета вещей. Их безопасность определяется качеством моделирования, проектирования и изготовления, как говорилось выше. Важен контроль их изготовления. Индустриальный Интернет вещей предполагает использование облачных платформ, к которым эти «вещи» будут подключаться и передавать данные, с помощью которых будут управляться. Безопасность облачных технологий находится в том же поле зрения, что и безопасность индустриального Интернета и просто Интернета вещей. Поэтому безопасность Интернета вещей и безопасность облачных решений должны обеспечиваться сквозными (взаимосвязанными) технологиями информационной безопасности.
*Ответы могут быть исключительно личным мнением интервьюированного.