Безопасность критически важных объектов сейчас определяется Федеральным законом №187 «О безопасности КИИ РФ». О современных тенденциях в области защиты АСУ ТП и промышленных информационных систем мы задали несколько вопросов Владимиру Карантаеву, руководителю отдела кибербезопасности АСУ ТП, руководителю «Лаборатории кибербезопасности» АСУ ТП компании «Ростелеком-Солар».
— Какие ключевые события в области защиты АСУ ТП произошли в России и мире за прошедший год? Какими тенденциями их можно объяснить?
— Одной из ключевых тем прошедшего года я бы назвал безопасную разработку, ее процессы и инструменты. Данная тема затрагивалась и на мировом уровне, и на российском. На мировом уровне была принята серия международных стандартов ISA/IEC 62443, три части которого переведены в России и получили статус ГОСТа. Остальные, к сожалению, так и не были гармонизированы и даже не попали в план по гармонизации. В то же время именно с новыми частями связаны основные изменения, которые происходили в 2019 г. и наблюдаются сейчас. Речь идет о частях 4.1 и 4.2 стандарта ISA/IEC 62443, определяющих требования к построению системы безопасной разработки у производителей средств АСУ ТП и затрагивающих системы промышленной автоматизации в целом – для всех отраслей. В 2019 г. этот стандарт стал одним из наиболее популярных по статистике выданных сертификатов на сайтах глобальных производителей систем АСУ ТП. Большинство из них сертифицировали свои производства на соответствие требованиям данного стандарта в части внедренных процессов безопасной разработки. В связи с этим мы как компания, занимающаяся вопросами защищенности АСУ ТП, надеемся увидеть, что в решениях производителей наметится положительная динамика выявления уязвимостей в прикладном и системном ПО, используемом в АСУ ТП. Конечная цель безопасной разработки – улучшить качество кода с точки зрения безопасности и качество архитектуры, что должно привести к повышению защищенности конечных решений.
В России начался аналогичный процесс внедрения методов безопасной разработки. В частности, в Техническом комитете №362 «Росстандарта», контролируемом ФСТЭК, создан подкомитет, который занимается безопасной разработкой. Несколько лет назад с его помощью был выпущен первый стандарт из серии ГОСТов по безопасной разработке, в настоящее время готовится целая серия документов по данной тематике. В отличие от мировых тенденций эти требования коснутся в первую очередь производителей средств защиты информации (СЗИ) всех типов. С учетом новых требований к доверию, выпущенных ФСТЭК России, требования по безопасной разработке становятся практически обязательными. Следующей «волной» эти требования дойдут и до разработчиков АСУ ТП, особенно тех, кто реализует в своих решениях встроенные механизмы безопасности. Такие производители уже есть, в том числе и российские. Некоторые из них находятся на стадии выбора партнера, который помог бы им построить процессы безопасной разработки, подсказал, какие инструменты могут быть интегрированы в среду разработки. Мы готовы выступить экспертным партнером в этой сфере – у нас есть статический анализатор кода appScreener, который уже тестируется, в частности, производителями решений АСУ ТП. Некоторые проекты по внедрению данного продукта находятся на финальной стадии принятия решения. Основной вопрос для российских производителей – требование ФСТЭК по переносу разработки продуктов для критических систем внутрь границ РФ.
— Как эти процессы влияют на разработчиков АСУ ТП? Что клиенты могут получить в результате?
— Мы системно развиваем партнерство с производителями средств АСУ ТП и СЗИ, как с глобальными, так и с российскими. Отслеживаем и изучаем, что делают разработчики решений в глобальном поле, и при выборе продуктов учитываем, в частности, реализацию требований по информационной безопасности с точки зрения лучших практик и нормативных требований. Мы обращаем внимание не только на выданные сертификаты, но и на функционал встроенных механизмов безопасности на уровне SCADA, контроллеров и полевых устройств. Для этого у нас и была создана «Лаборатория кибербезопасности», на базе которой мы либо сами разворачиваем инфраструктуру, либо делаем это на площадке партнера. Изучаем функционал не как сертификационная лаборатория, а как поставщик услуг, понимая, что комплексная система безопасности АСУ ТП – это комбинация механизмов наложенных СЗИ и встроенных в АСУ ТП. Это заложено и в нашу концепцию модели зрелости, в соответствии с которой четвертый уровень зрелости АСУ ТП в защищенном исполнении предусматривает эффективное совместное применение наложенных СЗИ и встроенных механизмов безопасности. И это не просто декларация, а результат исследования решений в рамках нашей лаборатории. Мы можем предложить заказчику решения разных уровней зрелости в зависимости от того, что ему нужно.
Наша компания может работать с несколькими вариантами построения комплексной системы защиты. Например, у клиента есть некоторая инсталлированная база АСУ ТП, которую, по понятным инвестиционным причинам, нецелесообразно или не подошло время менять. В этом случае руки у любого поставщика услуг будут связаны, поэтому приходится использовать в основном наложенные средства и механизмы безопасности. Где-то будем индивидуально настраивать механизмы безопасности для систем верхнего уровня. Но даже в этом случае мы должны быть уверены в том, что те продукты, которые входят в комплексное решение, действительно обладают тем функционалом, который подходит под ту концепцию и политику, которую мы стараемся сформировать. Наше кредо – в АСУ ТП должны функционировать только те процессы и информационные потоки, которые мы и заказчик понимаем. В системе не должно быть непонятных элементов. Чтобы реализовать эту политику, нужно понимать функционал и специфику использования каждого элемента системы.
— Какие еще темы в части безопасности АСУ ТП были популярны за прошедший год?
— Еще одной заметной и обсуждаемой мировой тенденцией является тема киберучений. Для России это пока новый вид деятельности, который, по моему мнению, будет набирать обороты и значимость. Тематике киберучений мы посвятили практически полтора года работы, провели несколько внутренних исследовательских работ, изучали, что делается в мире и с какими целями, пытались понять, что нужно предпринять нам. В мире достаточно давно примерно каждые два года проводятся киберучения разного масштаба и разной степени вовлечения ресурсов и сил, с периодичностью примерно. Наиболее известными мероприятиями такого рода являются учения, проводимые на нескольких площадках под эгидой NATO в так называемом центре передового опыта, который находится в Таллине. Кроме того, киберучения Locked Shields и Cyber Coalition также под эгидой NATO. Проводятся киберучения и под эгидой Евросоюза и его агентства ENISA, которое получило мандат на то, чтобы заниматься кибербезопасностью и отвечает за нее в масштабах всего Евросоюза. Именно на базе ENISA и при его активном участии проводятся киберучения, в которые вовлекаются страны Евросоюза.
В целом киберучения можно разделить на три вида (хотя есть разная классификация): штабные, гибридные и полнофункциональные. По большому счету, целей для проведения киберучения две – наступательные или оборонительные, хотя есть и комбинированные. Все киберучения объединяет то, что имеются какая-то легенда и программа, в ней фигурируют некоторые государства или группы государств, чаще всего с выдуманным названием. Есть ряд вводных, например, государство с нестабильным политическим режимом или дестабилизированное, либо государство, в котором что-то происходит с ключевой инфраструктурой или накануне выборов либо иного значимого для государства события. Сценарии могут быть самые разные – воздействие на отдельные элементы критической инфраструктуры или на систему автоматизации систем жизнеобеспечения и др. Понятно, что киберучения направлены на получение практических навыков. Если мы говорим о штабных киберучениях, то они, как правило, преследуют цели повышения общей осведомленности в вопросах кибербезопасности. Результатом могут стать более четкие формулировки целей защиты и формирование моделей угроз и нарушителей, для чего привлекается широкий круг экспертов и специалистов. Кроме того, в процессе обсуждения могут отрабатываться отраслевые сценарии защиты. Если говорить о гибридных и тем более полнофункциональных киберучениях, то фактически речь идет о том, что на созданной ИТ и АСУ ТП инфраструктуре осуществляется какое-то количество информационных воздействий. Одна или несколько команд атакуют, а другая группа команд находится на стороне защищающихся. Они занимаются детектированием воздействий нападающих и практической отработкой процессов реагирования.
Я проводил сравнение с существующими на производстве типами тренировок – противопожарной, противоаварийной, восстановительной. Все они необходимы для того, чтобы в случае нештатной ситуации реализовывались приобретенные навыки. То же самое должно быть и в кибербезопасности. Предположим, процессы реагирования на инциденты описаны, хотя далеко не у всех. Итак, инструкции по реагированию есть, и в компании осуществляется мониторинг ситуации. Из внутреннего или внешнего SOC эксперт получает сигнал о начавшейся атаке. Реагирование определяется минутами. В данном случае изучать инструкции по реагированию уже поздно. Сейчас мы пока находимся на стадии, когда комплексные системы безопасности – явление не массовое. Большинство заказчиков еще не достигли достаточной степени наблюдаемости состояния защищенности своей инфраструктуры, например, с использованием SOC. Но, когда мы к этому придем, на первый план выйдут практические навыки и четкий порядок действий. Когда горит, поздно договариваться, кто тащит шланг, кто багор, а кто лестницу. То же самое и с кибербезопасностью.
— Чем это отличается от CTF?
— CTF – близкое мероприятие, но чаще всего они имеют атакующую направленность. Кроме того, в них практически отсутствует отраслевая специфика. К тому же, конечный заказчик в CTF, как правило, не участвует – тренируются в реагировании в основном организаторы конкурса. В киберучениях одной из сторон является заинтересованный заказчик или целая группа. Например, в 2019 г. мы провели штабные киберучения исследовательского типа, в которые были вовлечены представители целого ряда органов исполнительной власти и компаний реального сектора экономики. Их было порядка десяти. Ценность учений была в том, что в них были вовлечены все стороны, заинтересованные в этом процессе, – регуляторы отрасли, производители СЗИ, владельцы ресурсов, которых регулируют. Процесс обсуждения всех сторон прошел с серьезным погружением в отраслевую специфику, что не присуще любому CTF, который проводится день-два. Мы изучали виды киберучений, затем проанализировали инструментарий и инфраструктуру, необходимые для качественного проведения киберучений.
В области организации киберучений Россия находится в роли догоняющего, поскольку в той же Северной Америке в лаборатории для проведения учений государство вкладывается уже на протяжении десятка лет, и бюджеты здесь весьма серьезные. Тем не менее, в рамках цифровой экономики есть раздел для создания цифрового киберполигона. В конце 2019 г. ПАО «Ростелеком» выиграл конкурс на создание национального киберполигона, и сейчас данный проект находится в стадии реализации. С одной стороны, это будет открытая площадка, в которую приглашаются заинтересованные отрасли. С другой стороны, на текущем этапе в нем будет реализована конкретная инфраструктура, максимально приближенная к реальной отраслевой. Первый этап – электроэнергетика. При построении полигона будут использованы реальные контроллеры и инфраструктурное оборудование, установленное на подстанциях, – комплексы, которые позволят осуществлять полунатурное моделирование. Было рассмотрено два варианта – моделирование предметной области на бумаге и полнонатурное, когда инфраструктура воссоздается полностью. Некое среднее состояние – полунатурное моделирование, когда есть что-то реальное и комплекс, выполняющий математическое моделирование. Полунатурное моделирование оптимально, на наш взгляд, по соотношению инвестиций с целями и задачами киберучений, которое позволит создаваемую инфраструктуру максимально приблизить к нуждам компаний, работающих в электроэнергетической отрасли. Это и генерация всех видов, и сетевые компании, и потребители. Любые специалисты, которые будут вовлечены в киберучения на базе полигона, безопасники и технологи, увидят свое «родное» оборудование и инфраструктуру. В этом ключевое отличие.
— Как производителям можно поучаствовать в этом процессе?
— Очень просто – выразить свою заинтересованность, а дальше мы обсудим. Сейчас формируется пул возможных поставщиков решений. Пока мы открыты и приглашаем в наш проект любых производителей АСУ ТП и СЗИ. Целевой аудиторией киберучений являются компании реального сектора экономики – субъекты энергетики, генерирующие и сетевые компании, ФОИВы, регуляторы. Все будет зависеть от плана киберучений. Вполне возможны объектовые киберучения либо учения в масштабах субъекта федерации или даже национальные. Мы уже проводили национальные штабные киберучения и получили успешный опыт, поэтому готовы сделать следующий шаг по мере того, как будет готова инфраструктура. Это позволит не только повысить осведомленность и приобрести определенные навыки, но и вывести диалог между безопасниками и технологами АСУ ТП на более высокий уровень. Мы осознанно в рамках штабных киберучений создали смешанные команды, представляющие разные компании и даже разные их блоки. В масштабе полного рабочего дня произошел процесс командообразования – восемь команд начали работать на получение конкретного результата. Из пяти предложенных сценариев сомнения у команд были только в одном, но, когда мы в качестве наблюдателей киберучений провели обсуждения внутри команд и между ними, по всем представленным сценариям было единодушное мнение – они вполне реалистичны.
— На каком этапе находится реализация требований Федерального закона №187 «О безопасности КИИ» в российской промышленности? Какие новые нормативные документы появились за прошедший год в этой сфере?
— Надеюсь, что названный закон не повторит путь закона №152 «О персональных данных» по уровню формального соблюдения. Законы принимались в разных политических ситуациях. Оба регулируют очень чувствительные, с точки зрения простого гражданина, моменты, и закон №187-ФЗ, как №152-ФЗ, затрагивает фактически всех. К сожалению, нередки примеры формального подхода к категорированию. Мы это наблюдаем, когда поднимаем вопросы необходимости защиты или оценки защищенности инфраструктуры. Мы готовы вместе с заказчиком разбираться с их инфраструктурой, обсуждать проблемы с главными инженерами и технологами, чтобы докопаться до сути – возможен ущерб от кибератак или нет. Для этого уже есть необходимый инструментарий. Существуют методы, которые используют метрологи на опасных производственных объектах для определения ущерба при создании АСУ ТП. Я говорю о HAZOP – в нем описаны подходы в соответствии с приказом №116 «О промышленной безопасности» «Ростехнадзора». На многих производствах, как ни странно, уже оценены риски от аварий. Но там нет инициирующего события в виде компьютерной атаки или инцидента в терминах закона №187-ФЗ. Необходимо к имеющимся инструментарию и процессам присовокупить тему ИБ и построить «мостик» к ней из существующих на предприятии оценок. В нашей практике мы примерно так и поступаем. В результате приходим к категорированию в цифрах на основе фактов. Как компания, обладающая определенной экспертизой, мы свое мнение высказываем, но по закону принятие окончательного решения и ответственность возложены на заказчика. Теоретически при реализации требований закона хотелось бы сконцентрироваться на вопросах оценки защищенности, потом – на разработке подходов к повышению защищенности, далее – на оценке рисков и последствий для клиентов, к чему нас закон и призывает. Но иногда мы слышим от заказчика – категории у нас нет, но защищать мы будем. Такое право у клиента есть, и это скорее положительная тенденция.
В реализации закона есть две болевые точки. Первая – оценка совместимости предлагаемых СЗИ в рамках комплексного решения построения киберзащищенных АСУ ТП. Вторая – оценка соответствия построенной системы по завершении проектов. Исходя из нормативной базы и оценка совместимости, и оценка соответствия как требования прописаны в приказе №239 ФСТЭК России. Но как поставщик комплексного решения мы должны быть уверены, что предлагаемые решения, продукты и подходы совместимы и гарантированно не влияют на конечную функцию АСУ ТП, с одной стороны, а с другой – обладают должным функционалом. На практике мы столкнулись с тем, что лабораторные либо полигонные испытания СЗИ, АСУ ТП или телемеханики могут привести к повышению технологического риска в проекте, расширению его объема и увеличению трудозатрат. С целью решения этой проблемы мы и создали лабораторию кибербезопасности, чтобы предложить заказчикам комплексный портфель решений, который состоит из продуктов разных производителей, но уже проверенных на совместимость друг с другом. Понятно, что это связано с серьезными инвестициями, и мы фокусируемся на определенных отраслях и производителях, популярных у российских заказчиков.
Если же этой деятельностью заниматься в проекте, то либо это будет формальный подход, чего хотелось бы избежать, либо предложение будет ограничено. С подобной ситуацией мы столкнулись при выборе поставщика сертифицированных межсетевых экранов по типу «Д», специализированных для применения с АСУ ТП. До недавнего времени поставщик таких экранов был один (теперь их два). Некоторое количество поставщиков из подготовленного нами списка достаточно быстро отсеялось, но даже тех, которые остались, мы были вынуждены вернуть из полигонных испытаний в стендовые, поскольку выяснили, что предварительно отобранные экраны выполняют не весь функционал, который от них ожидался. Кроме того, были выявлены ошибки в реализации средств телемеханики в протокольной части.
Проекты нормативных актов намекают на ужесточение требований, в частности, по обязательной сертификации СЗИ. Соответственно, нормы в виде оценки приемо-сдаточных испытаний если и будут работать, то скорее формально. Данный механизм требует проработки программ и методик, причем делать это надо превентивно. Соответствующих готовых решений пока нет. Если продукт имеет сертификат и обладает должным функционалом, то мы его среди прочих рассмотрим. Но по целому ряду продуктов сертификатов просто нет. Возникает дилемма – либо отказаться работать с соответствующей категорией рисков, либо заниматься защитой, но пойти по пути альтернативной формы проверки соответствия и доказывать регулятору, что все испытания СЗИ пройдены. Это зависит от качества методической проработки, и мы готовы идти по такому пути, а также заниматься аттестацией.
Как известно, в России сертифицируются продукты, а затем аттестуются системы, в то время как стандарт ISA/IEC 62443 часть 3 формирует требования к сертификации законченных программно-технических комплексов (ПТК) – это его отличительная черта. В Северной Америке глобальный производитель сертифицировал на соответствие этой части целиком ПТК для нефтегазовой отрасли. В комплекс вошли совокупность контроллеров распределенной системы управления, противоаварийной защиты, ИКТ-инфраструктура, которая их связывает, т. е. коммутаторы, и компоненты верхнего уровня – АРМ, серверы SCADA и др. Причем в ПТК вошли средства защиты информации как неотъемлемая составляющая. Этот комплекс прошел испытания на робастность и иные проверки, предусмотренные стандартом. В результате он сертифицирован как комплекс, но не на стадии создания у заказчика, а самим производителем. Может поставляться как типовое решение под совокупность установленных заказчиком требований – это прописано в стандарте. Например, в стандарте есть понятие уровня защищенности (Security Level), который задается исходя из уровня угроз и потенциала нарушителя. Когда заказчик проанализировал риски и сформировал модель угроз, он пришел к выводу, что ему противостоит нарушитель со средним потенциалом. Клиент выбирает соответствующий уровень защищенности, и, если ПТК сертифицирован под него, то ПТК можно брать как законченное решение. Схожая логика реализуется у нас в лаборатории, когда собирается и тестируется законченное решение. Мы исходим из логики повышения защищенности. Безусловно, такое решение стыкуется с категорией, но мы идем от оценки последствий, инициирующего события и формирования полноценной модели угроз. В этом смысле следуем логике стандарта, поскольку считаем ее правильной, несмотря на то, что в рамках регуляторного поля не можем заявить заказчику, что придерживаемся правил международного стандарта. Однако это не мешает использовать комплекс, если подобная процедура эффективна.
— Какой план обеспечения защиты вы можете порекомендовать для компаний, которые владеют АСУ ТП – значимыми объектами КИИ? Что им нужно предпринять в первую очередь для удовлетворения законодательных требований после прохождения процедуры категорирования?
— Любое регулирование имеет благую цель – обеспечить устойчивость и повышение безопасности критической информационной инфраструктуры. Все чаще мы имеем запрос от заказчиков оценить реальный уровень защищенности. От слов «сделайте нам методику или категорирование» они переходят к «оцените наш уровень защищенности». Мы предлагаем провести комплексный анализ защищенности АСУ ТП, в частности, делать пентесты, в том числе извне и внутри инфраструктуры. Это первый шаг. Некоторые заказчики, что еще более отрадно отметить, готовы к такой проверке на регулярной основе. Таких совсем мало, но они есть. Что дальше? Обеспечить формальное соответствие требованиям регулятора или повышать реальную защищенность?
Существует несколько сценариев, они могут быть реализованы и последовательно, и параллельно. Мы готовы подключать инфраструктуру заказчика на мониторинг защищенности АСУ ТП. С самого старта заказчик еще больше начинает понимать, что у него происходит с безопасностью АСУ ТП. Наша работа с заказчиком построена точечно – выделены технические эксперты и менеджеры, которые сопровождают заказчика и готовят регулярную отчетность. В этой отчетности выделяется раздел по безопасности корпоративного сегмента и АСУ ТП. Происходит переосмысление критичности инцидентов в АСУ ТП, т. е. индекс критичности инцидентов в корпоративном сегменте и АСУ ТП разный, что заставляет и заказчика на них по-другому посмотреть, и нас как поставщика сервисов. Заказчик понимает, что у него с защищенностью инфраструктуры, и мы переходим к следующему шагу – построению комплексной системы защиты.
Здесь нужно делать связку с нормативными требованиями, но идти от практики реальной защищенности. Далее необходимо использовать принцип разумной достаточности – понять реальную картину, выяснить, какие возникают инциденты, и начать реализовывать меры защиты в соответствии с реальными угрозами. Для этого следует определить логические границы технологического сегмента, поставить под контроль информационные потоки, обеспечить защиту верхнего уровня АСУ ТП и по мере возможности начать контролировать все более низкие ее слои. Для этого можно использовать более точную настройку правил безопасности или установку наложенных средств защиты.
Многие глобальные производители имеют хорошие руководства по точной настройке встроенных механизмов безопасности, и мы сейчас видим запрос рынке по реализации таких рекомендаций. Заказчики хотят потренироваться на инфраструктуре в нашей лаборатории, сделать предварительное упражнение по такой настройке и потом переносить их в свою инфраструктуру. Причем это не противоречит требованиям приказов ФСТЭК, поскольку приказ подразумевает адаптацию и расширение базового набора мер. При этом заказчик «из одного окна» получает все виды активности, хотя внутри у нас они расходятся по разным подразделениям. Результаты работы одного подразделения используются в другом, что и обеспечивает эффективную процедуру защиты инфраструктуры заказчика. Причем перед каждой процедурой проводить обследование не нужно – результаты первого сохраняются для всех дальнейших операций.
— Какое взаимодействие вы поддерживаете с производителями решений АСУ ТП?
— Последние полгода есть четкий посыл – импортозамещение. Что здесь ключевое — это не просто импортозамещайтесь, но представители Минпромторга обещают наличие рынка. Все время оговаривается, что российский рынок имеет определенный объем, но даже от этого российского рынка российские производители имеют очень малую долю. Например, в нефтегазе она составляет 10–12%. Если российские производители получат хотя бы большую долю российского рынка, то есть шанс получить хорошую прибыль и смогут развиваться смелее и больше вкладывать в разработку. Хотя это вопрос взаимного доверия. Основную задачу, которую нужно решить, – реализовать полный набор функционала АСУ ТП.
Российских поставщиков часто упрекают в том, что они отстают от мировых производителей. Но мы видим, что есть российские поставщики, которые несмотря ни на что вкладываются в разработку новых линеек и контроллеров разного назначения и применения, и программного обеспечения, и механизмов безопасности. Они изначально решают насущную проблему – доведение до определенного уровня зрелости основного функционала своих продуктов. Здесь все находятся в разной ситуации. Есть те, кто основную задачу решил и сейчас определяют следующий шаг для развития. Даже среди наших партнеров мы видим целый ряд российских производителей, которые находятся в точке выбора, – они осознали, что встроенная кибербезопасность может стать их конкурентным преимуществом. Они достигли стадии формирования требований к своим ПТК – не к отдельным компонентам, а к целому комплексу, созданному в киберзащищенном виде.
К сожалению, по старой российской привычке производители АСУ ТП считают, что они все сделают сами. Мне кажется, что это ошибка. Ни один российский производитель ни в одной сфере в одиночку не способен накопить потенциал глобального разработчика. Залог успеха – в кооперации, в экосистемном сотрудничестве и партнерстве. Мы пытаемся этот подход донести до наших партнеров, создаем собственную экосистему и приглашаем к сотрудничеству производителей АСУ ТП для совместного создания ПТК в киберзащищенном исполнении. Мировой опыт показывает, что даже глобальные производители идут в партнерства – в их продуктах много компонент третьих компаний, что и обеспечивает синергетический эффект. Если у заказчиков есть планы по модернизации или созданию новых агрегатов, то почему бы им сразу не формировать требования по реализации этих проектов исходя из концепции киберзащищенности? Кооперация возможна, необходимы обдуманные программы НИР и НИОКР для создания сложных систем. Примеры подобного технологического развития есть, и это наше будущее.