Ellenőrző rendszerek biztonsága

A vezérlőrendszerek biztonsága az ipari automatizált vezérlőrendszerek (ACS)  megfelelő működésébe való szándékos vagy nem szándékos beavatkozás megelőzése . Ezek a rendszerek manapság kezelik az összes fő tevékenységet, beleértve a nukleáris és egyéb villamos energiát , az olajtermelést és -szállítást, a vízellátást, a közlekedést, a kommunikációt és számos más iparágat és folyamatot. A vezérlőrendszerek közé tartoznak a számítógépek, hálózatok, operációs rendszerek, alkalmazások, valamint programozható és nem programozható vezérlők . Ezen elemek szinte mindegyike tartalmazhat biztonsági rést . A Stuxnet kártevőt 2010-ben fedezték felbemutatta az ICS sebezhetőségét a kiberincidensekkel szemben. Azóta a különböző kormányok elkezdték elfogadni a kiberbiztonsági szabályokat, amelyek megkövetelik a kritikus infrastruktúrákért felelős vezérlőrendszerek fokozott védelmét.

Az irányítási rendszerek biztonsága magában foglalja az ipari vezérlőrendszerek (ICS) biztonságát, a felügyeleti vezérlés és adatgyűjtés (SCADA) biztonságát, a folyamatirányítás biztonságát, az ipari hálózatok biztonságát és a kiberbiztonsági vezérlőrendszereket.

Kockázatok

Az ipari vezérlőrendszer biztonságának megsértése katasztrofális következményekkel járhat emberéletek elvesztésével, negatív környezeti hatásokkal, a termelési lánc károsodásával, berendezések károsodásával, bizalmas információk ellopásával és a vállalat imázsának károsodásával. .

Az elmúlt években számos olyan meghibásodás történt az ellenőrző rendszerek működésében, amelyek kisebb-nagyobb következményekkel jártak, és mind a körülmények egybeeséséből, mind a rosszindulatú cselekményekből fakadtak. Íme néhány közülük:

• Folyamatos áramkimaradások az Egyesült Államok és Kanada több régiójában 2003-ban. A baleset okának számos kedvezőtlen tényező egybeesését tartják, köztük a hálózati torlódást és a számítógép meghibásodását.
• 2005-ben baleset történt az 510. számú " Chagino " elektromos alállomáson , amelynek következtében Moszkva, a moszkvai régió és a szomszédos régiók számos kerületét megfosztották az áramtól. A baleset okának számos kedvezőtlen tényező egybeesését tartják: berendezések amortizációja, hőség, a dolgozók szakszerűtlensége.
• A Stuxnet ipari kártevő támadása , amely 2010-ben érte az ország nukleáris programjához kapcsolódó iráni ipari vállalkozásokat [1] .
• Katasztrófa 2011-ben a fukusimai atomerőműben. Ennek oka a berendezések gyakori meghibásodása volt a földrengés és a cunami után.
• 2015 végén az áramellátás megszakadása Ukrajna számos régiójában ( Ivano-Frankivszk , Csernyivci és Kijev régióban). A balesetet az Industroyer malware okozta, amelyet ukrán vállalatok és hírszerző ügynökségek képviselői szerint orosz hackerek vezettek be [2] . Az áramszünet 2017 végén megismétlődött. Ukrenergo ismét az orosz betolakodókat okolta ezért [3] .

Vezérlőrendszerek sebezhetősége

Az ipari automatizálási és vezérlőrendszerek sokkal sebezhetőbbé váltak az elmúlt 15-20 évben megfigyelhető trendek miatt. Ennek fő okai a következők:

• A kereskedelmi szabványos programok (COTS) és protokollok növekvő alkalmazása. Az olyan technológiák integrációja, mint az MS Windows, az SQL és az Ethernet , azt jelenti, hogy az ICS ma már gyakran ki van téve olyan rosszindulatú programoknak, amelyek a nyilvános hálózatokat is érintik.
• A vállalati integráció (gyári, vállalati, sőt nyilvános hálózatok használatával) azt jelenti, hogy a ma már meglévő folyamatvezérlő rendszerek gyakran olyan hatásoknak vannak kitéve, amelyeket nem vettek figyelembe tervezésükkor.
• Az ACS berendezések funkcionális redundanciája. A komplex programozható vezérlők és processzorok széles körben elterjedt használata olyan szabványos és egyszerű technológiai folyamatok előre meghatározott paramétertartományú vezérlésére, ahol a módosíthatatlan, úgynevezett " hard logic " megoldások alkalmazása is elegendő lehet, kiszolgáltatottá teszi azokat a meghibásodásokkal, illetve az újraprogramozással, ill. behatolók általi ellenőrzés.
• Növekvő kereslet a távoli hozzáférés iránt. A mérnöki, üzemeltetési vagy műszaki szolgáltatások 24 órás hozzáférése a kényelemmel együtt a vezérlőrendszerekhez való bizonytalan vagy rosszindulatú csatlakozások fokozott kockázatát jelenti.
• Az információk elérhetősége. A vezérlőrendszerek használatára vonatkozó irányelvek mind a jogos felhasználók, mind a támadók rendelkezésére állnak.

Fenyegetések elleni küzdelem

Az automatizált vállalatirányítási rendszereket fenyegető veszélyek számának növekedése és gyors változása a 21. század elején következett be. Tekintettel arra, hogy az automatizált folyamatirányító rendszerek elterjedése több évtizeddel korábban történt, amikor az ilyen fenyegetések mértéke nagyságrendekkel alacsonyabb volt, ezért fontos az akkor létrejött rendszerek elemzése a jelenlegi fenyegetettségi szint figyelembevételével [4] .

• Vállalkozások hálózatbiztonságának és folyamatirányító rendszereinek részletes auditálása. Különös figyelmet kell fordítani azoknak a rendszereknek az architektúrájára, amelyek több évtizeddel ezelőtt épültek, amikor a veszélyességi szint jóval alacsonyabb volt. A közös ok miatti ACS-meghibásodás kockázatainak auditálása.
• Redundáns rendszerek visszautasítása újraprogramozható logikával. Az elvégzendő vezérlési feladatok kezdeti ismeretében célszerű áttérni a külső hálózatoktól elkülönített, előre meghatározott merev logikával rendelkező rendszerekre, amelyekbe kívülről a beavatkozás gyakorlatilag lehetetlen.
• Az ún. „ diverz védelmi rendszerek ” (diverse actuation system) bevezetése, amikor a meglévő automatizált vezérlőrendszer kiegészül egy másik, más szoftverre vagy hardverre épülő, a főbb biztonsági problémákat megoldó rendszerrel. Hasonló rendszereket már használnak néhány atomerőműben, és a NAÜ számára még nagyobb használatot javasol [5] , mivel csökkentik a közös okokból bekövetkező meghibásodások kockázatát, nemcsak programozási hiba vagy rosszindulatú hackertámadás miatt, hanem olyan jelenségek esetén is, mint pl. mint meghibásodásból eredő túlmelegedés, klímaberendezések, tűz, tűzoltás közbeni áradás stb. Hasonló védelmi rendszereket valósított meg például a moszkvai Fizpribor üzem a Novovoronyezsi Atomerőműben , és jelenleg a francia Orano cég vezeti be a Brit atomerőmű Hinkley Pointban . Ez az elv azonban nemcsak a nukleáris iparban alkalmazható, hanem a veszélyes technológiai folyamatok bármely vezérlőrendszerére is.

A nemzeti kormányok erőfeszítései

Általánosan elfogadott, hogy az Egyesült Államok volt az egyik első ország, amely aggodalmát fejezte ki nemcsak a kiberbiztonság, hanem az ellenőrző rendszerek biztonsága miatt is. Különösen az Egyesült Államok kormányának Computer Emergency Response Team (CERT) létrehozta a Control Systems Security Programot (CSSP) [6] , amely számos ingyenes nemzeti szabványt és technológiát [7] (NIST) biztosít az irányítási rendszerek biztonságával kapcsolatban.

Az európai országok is egyre nagyobb aggodalmat fejeznek ki ezekkel a kérdésekkel kapcsolatban. Így például Németországban az információbiztonsággal a Szövetségi Információbiztonsági Hivatal (Das Bundesamt für Sicherheit in der Informationstechnik) foglalkozik, és a nemzeti informatikai infrastruktúra és gazdaság kritikus fontosságú objektumainak kérdéseivel, beleértve a vezérlőrendszerek biztonságát is. Kiberbiztonsági központ . Ezenkívül a német védelmi minisztérium és a külügyminisztérium kezdeményezésére egy új struktúra jön létre - az Innovációs és Kiberbiztonsági Ügynökség (Agentur für Innovation in der Cybersicherheit) [8] .

A Nemzetközi Távközlési Unió (ITU) által közzétett 2017-es kiberbiztonsági index [9] szerint Oroszország bekerült a vezető országok csoportjába, és a tizedik helyen áll - Japán és Norvégia, valamint Franciaország és Kanada után. A Szövetségi Műszaki és Exportellenőrzési Szolgálat (FSTEC of Russia), amely a Védelmi Minisztériumnak tartozik felelősséggel, állami szinten foglalkozik az ipari rendszerek biztonságával. Oroszországban 2017 áprilisa óta érvényes a GOST R IEC 62443-3-3-2016 „Rendszerbiztonsági követelmények és biztonsági szintek” nemzeti szabvány, amelyet a Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség 2016. június 1-i, N 469-st rendeletével vezettek be. hatályban volt [10] . Ez a szabvány harmonizált a folyamatirányító rendszerek nemzetközi biztonsági szabványaival.

Folyamatirányító rendszerek nemzetközi biztonsági szabványai

A Nemzetközi Automatizálási Szövetség által kifejlesztett ISA/IEC-62443 protokollok, műszaki jelentések és kapcsolódó információk összessége, amelyek meghatározzák az elektronikusan biztonságos ipari automatizálási és vezérlőrendszerek megvalósításának eljárásait. Ez a szabvány az ipari automatizálási és vezérlőrendszerek gyártásáért, tervezéséért, megvalósításáért vagy üzemeltetéséért felelős végfelhasználókra, rendszerintegrátorokra, biztonsági szakemberekre és vezérlőrendszer-gyártókra vonatkozik.

Ezt a szabványt eredetileg ANSI/ISA-99-nek vagy ISA99-nek hívták, az azt létrehozó Nemzetközi Automatizálási Szövetség (ISA) után. 2010-ben az ISA és ANSI dokumentumoknak a Nemzetközi Elektrotechnikai Bizottság (IEC) vonatkozó szabványaival való harmonizációja miatt a szabványt ANSI / ISA-62443 névre keresztelték.

Jegyzetek

1. ↑ Stuxnet támadás Irán ellen . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. szeptember 11.. (határozatlan)
2. ↑ Ukrajna elektromos hálózatának ravasz, példátlan feltörése . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. október 5.. (határozatlan)
3. ↑ Kibertámadás volt az ukrán áramszünet: Ukrenergo . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. október 5.. (határozatlan)
4. ↑ Shults V. L., Kulba V. V., Shelkov A. B. Audit of information security of Automated control systems  // Trends and Management: Journal. - 2014. - 4. sz . – S. 319–334 . Az eredetiből archiválva: 2018. október 5.
5. ↑ Nemzetközi Atomenergia Ügynökség. Atomerőművek változatos működtetőrendszereinek kritériumai  //  NAÜ TECDOC SOROZAT. — ISSN 1011–4289 . Az eredetiből archiválva : 2018. augusztus 29.
6. ↑ Nemzetbiztonság, Nemzeti Kiberbiztonsági Osztály. Vezérlőrendszerek biztonságának katalógusa : ajánlások szabványfejlesztőknek  . - 2011. - április. Az eredetiből archiválva: 2017. január 20.
7. ↑ Ipari vezérlőrendszerek kibervészhelyzet-reagáló csapata. Szabványok és referenciák (hivatkozás nem elérhető) . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. augusztus 23. (határozatlan) 
8. ↑ TASS. Spiegel: A német kormány kiberbiztonsági ügynökséget kíván létrehozni . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. október 6.. (határozatlan)
9. ↑ Nemzetközi Távközlési Unió. Globális kiberbiztonsági index (GCI) 2017  (angol) . Az eredetiből archiválva : 2019. január 25.
10. ↑ Ipari kommunikációs hálózatok. Hálózatok és rendszerek biztonsága. . Letöltve: 2018. október 5. Az eredetiből archiválva : 2018. október 6.. (határozatlan)