Безопасность системы управления

Безопасность системы управления или кибербезопасность системы автоматизации и управления (ACS) — это предотвращение (преднамеренного или непреднамеренного) вмешательства в надлежащую работу промышленных систем автоматизации и управления . Эти системы управления управляют основными службами, включая электроэнергию, добычу нефти, воду, транспорт, производство и связь. Они полагаются на компьютеры, сети, операционные системы, приложения и программируемые контроллеры , каждый из которых может содержать уязвимости безопасности . Обнаружение червя Stuxnet в 2010 году продемонстрировало уязвимость этих систем к киберинцидентам. ^[1] Соединенные Штаты и другие правительства приняли правила кибербезопасности, требующие усиленной защиты для систем управления, работающих с критической инфраструктурой.

Безопасность систем управления известна под несколькими другими названиями, такими как безопасность SCADA , безопасность PCN , безопасность промышленных сетей , кибербезопасность промышленных систем управления (ICS) , безопасность операционных технологий (OT), системы промышленной автоматизации и управления и кибербезопасность систем управления .

Риски

Ненадежность или уязвимости, присущие системам автоматизации и управления (САУ), могут привести к серьезным последствиям в таких категориях, как безопасность, гибель людей, травмы, воздействие на окружающую среду, производственные потери, повреждение оборудования, кража информации и имидж компании.

Руководство по оценке, анализу и снижению этих потенциальных рисков предоставляется посредством применения многих правительственных, нормативных, отраслевых документов и глобальных стандартов, которые рассматриваются ниже.

Уязвимость систем автоматизации и управления

Системы автоматизации и управления (САУ) стали гораздо более уязвимыми к инцидентам безопасности из-за следующих тенденций, произошедших за последние 10–15 лет.

• Интенсивное использование коммерческих готовых технологий (COTS) и протоколов. Интеграция таких технологий, как MS Windows, SQL и Ethernet, означает, что системы управления процессами теперь уязвимы для тех же вредоносных программ (вирусов, червей и троянов), которые влияют на обычные ИТ-системы
• Интеграция предприятия (с использованием заводских, корпоративных и даже общедоступных сетей) означает, что системы управления технологическими процессами (унаследованные) теперь подвергаются нагрузкам, на которые они не были рассчитаны.
• Потребность в удаленном доступе — круглосуточный доступ для инженерных, эксплуатационных или технических служб означает больше небезопасных или несанкционированных подключений к системе управления
• Безопасность через неизвестность . Использование нестандартных, частных или фирменных протоколов или стандартов наносит ущерб безопасности системы.

Киберугрозы и стратегии атак на системы автоматизации быстро меняются. Регулирование промышленных систем управления для обеспечения безопасности встречается редко и является медленным процессом. Например, Соединенные Штаты делают это только для ядерной энергетики и химической промышленности . ^[2]

Усилия правительства

Группа готовности к чрезвычайным ситуациям в сфере компьютерной безопасности правительства США (US-CERT) изначально учредила программу безопасности систем управления (CSSP), которая теперь называется Национальным центром интеграции кибербезопасности и коммуникаций (NCCIC) для промышленных систем управления, которая предоставила большой набор бесплатных документов стандартов Национального института стандартов и технологий (NIST) относительно безопасности систем управления. ^[3] Демонстрация совместных возможностей технологий правительства США (JCTD), известная как MOSIACS (More Situational Awareness for Industrial Control Systems), является первоначальной демонстрацией возможностей защиты кибербезопасности для систем управления критической инфраструктурой. ^[4] MOSAICS удовлетворяет оперативную потребность Министерства обороны (DOD) в возможностях киберзащиты для защиты систем управления критической инфраструктурой от кибератак, таких как электроснабжение, водоснабжение и сточные воды, а также средства безопасности, влияющие на физическую среду. ^[5] Прототип MOSAICS JCTD будет предоставлен коммерческой промышленности в рамках Дней промышленности для дальнейших исследований и разработок, подход, призванный привести к инновационным, меняющим правила игры возможностям кибербезопасности для систем управления критической инфраструктурой. ^[6]

Стандарты кибербезопасности систем автоматизации и управления

Международным стандартом кибербезопасности систем автоматизации и управления является ISA/IEC 62443. Кроме того, несколько национальных организаций, таких как NIST и NERC в США, выпустили руководства и требования по кибербезопасности в системах управления.

МСА/МЭК 62443

Стандарты кибербезопасности ISA/IEC 62443 определяют процессы, методы и требования для систем автоматизации и управления (ACS). Ответственность за эти стандарты лежит на сотрудничестве между комитетом ISA99 Международного общества автоматизации (ISA) и рабочей группой 10 технического комитета 65 IEC.

Комитет ISA99 действует как аккредитованная ANSI организация по разработке стандартов (SDO) в США. В IEC процесс создания стандартов заключается в том, что все национальные комитеты согласовывают общий стандарт.

Стандарты и технические отчеты ISA/IEC 62443 разделены на четыре основные категории: «Общие» , «Политики и процедуры» , «Система» и «Компонент» .

1. Первая категория включает в себя основополагающую информацию, такую ​​как концепции, модели и терминология.
2. Вторая категория рабочих продуктов нацелена на владельца активов. Они охватывают различные аспекты создания и поддержания эффективной программы безопасности IACS.
3. Третья категория включает рабочие продукты, описывающие руководство по проектированию системы и требования к безопасной интеграции систем управления. Ядром в этом является модель проектирования зон и каналов.
4. Четвертая категория включает рабочие продукты, описывающие конкретную разработку продукта и технические требования к продуктам систем управления.

НКРЭ

Наиболее широко признанным и последним стандартом безопасности NERC является NERC 1300, который является модификацией/обновлением NERC 1200. Последняя версия NERC 1300 называется CIP-002-3 по CIP-009-3, где CIP относится к защите критической инфраструктуры. Эти стандарты используются для защиты массовых электрических систем, хотя NERC создал стандарты в других областях. Стандарты массовых электрических систем также обеспечивают администрирование сетевой безопасности, при этом поддерживая передовые отраслевые процессы.

НИСТ

NIST Cybersecurity Framework (NIST CSF) обеспечивает высокоуровневую таксономию результатов кибербезопасности и методологию оценки и управления этими результатами. Она предназначена для помощи организациям частного сектора, которые предоставляют критически важную инфраструктуру , с руководством по ее защите. ^[7]

В специальной публикации NIST 800-82 Rev. 2 « Руководство по безопасности промышленных систем управления (ICS) » описывается, как защитить различные типы промышленных систем управления от кибератак, учитывая при этом требования к производительности, надежности и безопасности, характерные для ICS. ^[8]

Сертификаты безопасности системы управления

Сертификации безопасности систем управления были установлены несколькими глобальными органами сертификации. Большинство схем основаны на IEC 62443 и описывают методы испытаний, политику аудита надзора, политику публичной документации и другие конкретные аспекты их программы.

Внешние ссылки

• МЭК 62443
• Веб-страница NIST США
• Стандарты защиты критически важной инфраструктуры (CIP) NERC США. Архивировано 01.01.2011 на Wayback Machine
• Инструменты, каталоги и стандарты NPSA Великобритании

Ссылки

1. Байрес, Эрик; Кусимано, Джон (февраль 2012 г.). «7 шагов к безопасности АСУ ТП». Tofino Security и exida Consulting LLC. Архивировано из оригинала 23 января 2013 г. Получено 3 марта 2011 г.
2. Гросс, Майкл Джозеф (2011-04-01). «Декларация кибервойны». Vanity Fair . Condé Nast. Архивировано из оригинала 2014-07-13 . Получено 2017-11-29 .
3. "Стандарты и ссылки - NCCIC / ICS-CERT". ics-cert.us-cert.gov/ . Архивировано из оригинала 2010-10-26 . Получено 2010-10-27 .
4. «Больше ситуационной осведомленности для промышленных систем управления (MOSAICS) Демонстрация совместных возможностей технологии (JCTD): разработка концепции для защиты критически важной инфраструктуры – HDIAC» . Получено 31 июля 2021 г.
5. «Больше ситуационной осведомленности для промышленных систем управления (MOSAICS): проектирование и разработка критически важной инфраструктуры киберзащиты для динамических классов с высокой степенью чувствительности к контексту: часть 1 – проектирование – HDIAC» . Получено 31 июля 2021 г.
6. «Больше ситуационной осведомленности для промышленных систем управления (MOSAICS): проектирование и разработка критически важной инфраструктуры киберзащиты для динамических классов с высокой степенью чувствительности к контексту: часть 2 – Разработка – HDIAC» . Получено 31 июля 2021 г.
7. "NIST Cybersecurity Framework" . Получено 2016-08-02 .
8. Стоуффер, Кит; Лайтман, Сюзанна; Пиллиттери, Виктория; Абрамс, Маршалл; Хан, Адам (2015-06-03). «Руководство по безопасности промышленных систем управления (ICS)». CSRC | NIST . doi :10.6028/NIST.SP.800-82r2 . Получено 29.12.2020 .