Прошло уже более 10 лет с момента, когда вопросы обеспечения безопасности критически важных объектов, а затем и объектов критической информационной инфраструктуры (КИИ) прочно обосновались в повестке различных мероприятий, статей и нормативных актов.

На сегодняшний день многие организации успели пройти путь от категорирования и даже перекатегорирования до разработки и внедрения систем обеспечения информационной безопасности. Базовые требования выполнены, меры реализованы, системы защищены, проверены и эксплуатируются. По крайней мере, у большинства владельцев защищаемых систем есть общее понимание, с чего начать и что именно делать, чтобы защитить свои объекты.

Однако частные и узкие вопросы реализации мер защиты могут оставаться актуальными, но недостаточно исследованными даже сейчас. Один из таких вопросов — безопасная интеграция автоматизированных систем управления технологическими процессами (АСУ ТП), принадлежащих разным субъектам КИИ.

Почему эта проблема заслуживает особого внимания?

В современных условиях ни одна организация не существует изолированно. Так и технологические процессы в некоторых случаях требуют взаимодействия различных информационных систем, в том числе принадлежащих разным организациям, например, при:

• передаче энергоносителей между добывающими и транспортными предприятиями;

• обеспечении газоснабжения населенных пунктов через ответвление от магистральных газопроводов;

• трансграничной передаче ресурсов, где АСУ ТП разных стран должны работать согласованно, учитывая возможное взаимное недоверие.

Предлагаю рассмотреть перечисленные сценарии, с учетом отсутствия единых и однозначно трактуемых подходов к безопасному сопряжению «чужеродных» АСУ ТП, более детально и через призму нестандартных решений, включая принципы ТРИЗ (теория решения изобретательских задач).

В Приказе №239 ФСТЭК России от 25.12.2017 определены базовые меры по обеспечению безопасности при информационном взаимодействии разных объектов КИИ, однако они описаны достаточно широко. Их интерпретация может вызвать множество вопросов с точки зрения единого подхода по реализации. Учитывая, что единый подход будет реализован двумя или более организациями, со своими политиками и методами к обеспечению информационной безопасности.

Рассмотрим типовой и очевидный вариант организации стыка двух технологических сетей с использованием межсетевых экранов.

На рынке существует множество промышленных межсетевых экранов, имеющих сертификаты соответствия по типу «Д», которые поддерживают фильтрацию трафика промышленных протоколов на седьмом уровне модели OSI. Сертификаты соответствия подтверждают выполнение заявленных функций безопасности, а также соответствие установленным уровням доверия. Однако необходимо учитывать, что:

• уязвимости могут присутствовать не только в программном коде межсетевых экранов, но и их конфигурации — избыточные правила межсетевого экранирования, доступные сервисы администрирования и так далее;

• по обе стороны от межсетевого экрана могут находиться сервисы с уязвимостями, устранение которых может быть за пределами возможностей одной из организаций;

• межсетевой экран сам по себе может содержать уязвимости ПО — их код тоже пишут обычные люди, зачастую переиспользуя общедоступные библиотеки и компоненты.

В качестве иллюстрации уязвимостей межсетевых экранов приведу пример из жизни. Одна из наших команд участвовала в процедуре сертификации межсетевого экрана, который осуществлял фильтрацию трафика на уровне ядра операционной системы Linux (таковы были ограничения архитектуры). Поверхностью атаки являлось всё ядро операционной системы, что могло стать широким полем для действий нарушителей.

Таким образом, перед нами возникло противоречие: необходимо безопасно передавать и принимать данные, но делать это с использованием традиционных средств защиты информации, таких как межсетевые экраны, выглядело небезопасно. Как предоставить доступ, не предоставляя доступа? Налицо противоречие, которое можно было разрешить с использованием инструмента ТРИЗ и ее принципов.

Для начала можно применить принцип дробления: патч-корды, которыми мы сопрягаем две АСУ ТП, представляют собой не только цельный кабель, и даже не только четыре витые пары внутри него. Эти патч-корды передают данные с использованием сетевого стека, который можно представить в виде уровней модели OSI. На примере протокола Modbus TCP применение принципа дробления выглядит следующим образом:

Применяя следующий принцип, принцип вынесения, мы удалим уязвимые уровни L3 и L4, тем самым сократим поверхность атаки, но сохраним функциональные возможности промышленного протокола Modbus.

При таком смелом использовании принципа вынесения работоспособность нашей защищаемой системы будет нарушена. Поэтому вынесение уровней мы скомпенсируем применением иных технологий. Вместо транспорта и канального Ethernet можно использовать, например, RS-485.

Таким образом, легким применением двух принципов ТРИЗ мы превратили Modbus TCP в Modbus RTU. Кроме возвращения в «каменный век», такое действие обеспечивает следующие выгоды:

1. Мы существенно сократили поверхность атаки, которая свойственна сетям TCP/IP.

2. Мы не ограничили направление взаимодействия защищаемых систем — данные по-прежнему можно как принимать, так и отправлять.

3. Так как мы сохранили протокол 7 уровня, защищаемая система по-прежнему может функционировать, а у нас появится возможность фильтровать промышленные команды. Но с использованием уже немного других устройств.

На отечественном рынке существуют устройства, которые эффективно реализуют как конвертацию протоколов Ethernet в RS485 и обратно, так и фильтрацию данных на уровне команд промышленных протоколов. Зачастую применение подобных устройств вместо классических межсетевых экранов может оказаться более выгодным как с экономической точки зрения, так и с точки зрения уровня защищенности.

Альтернативным и популярным решением по сопряжению АСУ ТП, принадлежащих разным владельцам, является применение диодов данных. Однако нужно учесть, что они по своей природе имеют ограничения: трафик в них может быть направлен только в одном направлении. Передача двунаправленных протоколов, например, Modbus TCP или OPC UA (тоже на базе TCP) без дополнительной эмуляции (а это дополнительные точки отказа, задержки и строки спецификации с соответствующими суммами) будет невозможна.

Таким образом, применение конвертеров интерфейсов с фильтрацией промышленных протоколов выглядит более предпочтительным с экономической точки зрения.

В заключение

Итоги подведу тремя ключевыми тезисами:

• При решении технических задач возможно применение нетривиальных решений, поиск которых может осуществляться через различные инструменты, в том числе ТРИЗ.

• Нетривиальные технические решения могут обеспечить более высокий уровень безопасности, но откатывать к технологиям прошлого века.

• Необходимо искать баланс между повышенной безопасностью и управляемостью инфраструктуры.

И небольшой историей

Однажды мы выходили на рынок информационной безопасности в Индии и столкнулись с интересным явлением, известным как «Джугад». Это понятие подразумевает нестандартные, зачастую интуитивные решения проблем, которые могут быть как гибкими, так и неуправляемыми.

Картинка выше — идеальная иллюстрация такой концепции. Изображение мопеда, который с помощью заднего колеса приводит в движение машину, выполняющую совершенно иные задачи, наглядно показывает, как важно сохранять баланс между инновациями и управляемостью. Как и в нашем случае — необходимо соблюдать баланс между повышенной защищенностью, управляемостью и применением устаревших технологий.

Автор: Алексей Шанин, директор департамента технической поддержки продаж УЦСБ