Por mais de 15 anos tenho trabalhado em um pequeno, mas bastante conhecido em círculos estreitos da empresa russa de Novosibirsk "Tornado Modular Systems", que desenvolve e implementa softwares e complexos de hardware para sistemas de controle de processos de instalações de energia. Ao longo dos anos, estive envolvido em áreas completamente diferentes: programação de sistemas de software especializados de alto nível para proteção e automação de relés MP, configuração de telemecânica e sistemas de controle de processo automatizado, participação no desenvolvimento de um computador industrial moderno e venda de projetos complexos de muitas dezenas de milhões de rublos. Tamanha variedade de tarefas de produção, talvez, predeterminou o que me interessou nesta nova direção - IS ACS TP.
Mas as primeiras coisas primeiro. Ora, pode parecer que o atual crescimento, por assim dizer, avalanche do mercado de equipamentos, software e serviços para a solução do problema de segurança da informação de um sistema de controle automatizado de processos se deve ao surgimento de ameaças de influência externa sobre os processos tecnológicos, o que também leva a um crescimento natural do quadro regulatório do regulador FSTEC, etc. Esta opinião é amplamente correta, entretanto, parece-me que a base desses processos é a disseminação descontrolada da interface Ethernet como um padrão de fato para organizar redes industriais de sistemas de controle industrial. Por que incontrolável? Como você pode dizer isso? Em minha opinião, há todos os motivos para isso. O tópico IS ACS TP apareceu há não muito tempo, e antes disso, qualquer projetista de um ACS ou subsistema, com um leve movimento da mão, conectava as redes da unidade de energia, o pátio de manobra da estação, o painel de controle principal e muitos outros sistemas pequenos e não muito de controle e gerenciamento.Tudo isto a pedido do cliente, de forma a garantir uma maior observabilidade da instalação e melhorar a qualidade do controlo e gestão.
Quais foram os resultados dessas boas intenções? Os especialistas na manutenção de sistemas de monitoramento e controle tecnológicos perderam em grande parte sua compreensão dos processos que ocorrem nessas LANs e seu possível impacto na manutenção da operabilidade do processo tecnológico. Você pode pensar que isso é uma consequência da baixa qualificação do pessoal. Mas em muitos casos isso não é verdade. O fato é que a escala de informações para análise pelo pessoal afeta a adequação da percepção do estado do objeto de controle. O volume das redes industriais e o número de dispositivos ativos hoje é tal que mesmo um especialista qualificado não pode prever as possíveis consequências de fazer alterações nas configurações dos controladores do sistema de controle de processo automatizado, equipamento de rede, instalar novos dispositivos ou mesmo colocar os subsistemas de controle em modos de reparo ou ajuste de rotina.E ainda não estou tocando nas questões de hackers externos com várias tarefas e meios de penetração e influência.
Assim, o surgimento de especialistas em segurança da informação nas instalações industriais dos postos de controle, em geral, coincidiu organicamente com essa pressão crescente das redes industriais, sob as quais as costas do valente pessoal operacional já começaram a se dobrar. Esses cavaleiros de firewalls, defesas antivírus e sistemas de detecção de intrusão deveriam assumir a bandeira da segurança industrial e garantir seu bom funcionamento em condições modernas com conexões à Internet, canais de comunicação remotos, MES e ERP sugando gigabytes de dados do sistema de controle de processo.
Acredito que em muitos aspectos essa tarefa está sendo resolvida por desenvolvedores modernos de sistemas de segurança da informação para sistemas de controle de processos, ou será resolvida principalmente nos próximos anos. Claro, existem dificuldades, nem todos os ICS estão transferindo de forma constante a integração das ferramentas de segurança da informação em suas arquiteturas confidenciais. Mas esses são momentos de trabalho. No entanto, acho que há uma série de questões conceituais que devem ser analisadas por fornecedores e integradores de ferramentas ICS de segurança da informação.
Para compreender a eficácia dos meios de garantir a segurança da informação do APCS, é útil considerar aqueles meios que cumprem as suas tarefas visadas. As principais tarefas do APCS em ordem de prioridade são:
1. Manter o processo tecnológico
2. Se for impossível salvar o primeiro equipamento tecnológico e a vida do pessoal
Em caso de acidente tecnológico, existem duas opções para o desenvolvimento da situação. O desenvolvimento de uma situação de emergência pode ser interrompido pela ação automática do subsistema de proteção como parte do complexo de software e hardware do APCS, ou pela interrupção do processo tecnológico pelo pessoal de plantão usando o painel de controle de emergência. Nesse caso, será implementada uma parada de rotina do processo tecnológico. Se, por algum motivo, essas medidas não permitiram interromper rotineiramente o processo tecnológico, uma situação de emergência pode se desenvolver com consequências imprevisíveis. Assim, todos os APCS modernos incluem software e hardware e hardware simples projetado para desligamento seguro automático ou manual do processo tecnológico.
Agora vamos considerar as tarefas-alvo do SI do APCS. As empresas que desenvolvem softwares e hardwares para sistemas de controle de segurança da informação têm sido, historicamente, os desenvolvedores das mesmas soluções para o mercado de TI. Mas as tarefas de IS IT e IS ICS são ideologicamente diferentes. Na área de TI de segurança da informação, a tarefa é manter a operabilidade de toda a infraestrutura de TI da organização, incluindo todas as conexões (conexão à Internet, VPN para filiais, etc.). Podemos até dizer que o desempenho dessas conexões é uma das principais prioridades, já que um produto útil para muitas organizações, quando desconectadas, por exemplo, a conexão com a Internet tende a zero. Quanto ao SI da APCS, hoje a principal tarefa é formulada como:
1. Garantir o funcionamento da APCS, incluindo todas as comunicações
Chama-se a atenção para o fato de que, em caso de incidente de segurança da informação, seu desfecho pode ser qualquer coisa, até um acidente tecnológico, e praticamente não depende do pessoal de plantão na instalação. Atualmente, SOCs para objetos com APCS praticamente não são encontrados, e sua aparência pode ser restringida por uma avaliação de sua eficiência financeira e, especialmente, de destino para APCS. Isso significa que o paradigma existente para o desenvolvimento de IS ICS se distingue pela ausência de meios de influência ativa no desenvolvimento de um incidente de IS ICS após o momento de penetração bem-sucedida na LAN do ICS.
De fato, em uma instalação industrial, podemos decompor todas as redes industriais em segmentos condicionalmente isolados, que por si só garantem o funcionamento do processo tecnológico. Assim, em situações críticas, ou de elevado nível de perigo para a segurança da informação de uma instalação industrial, as ligações de tais sub-redes não têm valor do ponto de vista do processo tecnológico. E aqui está a primeira dissonância - os especialistas em segurança da informação estão acostumados a ver como meta a preservação da operabilidade de toda a infraestrutura da organização, enquanto na parte de segurança da informação, ICS, eles devem começar a entender que nem todas as conexões são valiosas. Consequentemente, em certas situações, eles podem ser fisicamente desativados para minimizar ou interromper a disseminação de processos destrutivos na rede APCS.
Deixe-me dar um exemplo. Todos nós conhecemos o acidente na UHE Sayano-Shushenskaya. Não vou tocar nesse objeto em si, o desenvolvimento do acidente está bem descrito. Um dos fatores que levaram a isso foi a transferência da UHE Sayano-Shushenskaya para o modo de controle de frequência no sistema de potência. O motivo dessa transferência é que houve um incêndio na sala de comunicação da usina hidrelétrica de Bratsk, que é o principal regulador de frequência do sistema de energia siberiano. Como resultado, o centro de despacho principal da ODU da Sibéria perdeu completamente a comunicação com todos os sistemas automatizados da UHE Bratsk, incluindo o sistema de controle automático de frequência e potência. Assim, uma das principais instalações de energia na Sibéria saiu do processo de regulação automática. A comunicação dos sistemas automatizados foi interrompida.Como isso afetou o funcionamento da própria usina hidrelétrica de Bratsk? Na verdade, quase nada. É claro que a estação não fazia mais regulagem automática, mas os geradores continuavam em operação, a estação era controlada pelos canais de comunicação de voz da ODU siberiana e os sistemas de automação da estação funcionavam. Este exemplo mostra que mesmo a perda de canais importantes de controle e gerenciamento pode não levar ao encerramento do processo. O que podemos dizer sobre as inúmeras, de fato, conexões informativas do APCS - transferência de dados para ERP e MES, painéis de controle de instalações gerais, canais de acesso remoto, etc. Consequentemente, em termos de garantia de medidas para IS ICS, um novo princípio deve aparecer - nem todas as conexões de LAN do ICS são valiosas, tais conexões devem ser identificadas ao desenvolver projetos de IS ICS,o projeto deve prever a possibilidade de desconectar fisicamente esses links.
A segunda dissonância que sinto está relacionada à resposta a incidentes de segurança da informação ICS. Como pessoa envolvida em sistemas automatizados de controle de processos, estou acostumada com o fato de que, quando surge alguma indignação, o sistema de controle com seus algoritmos compensa essa indignação. Ou seja, há uma reação ativa. E o que significa o termo "Resposta a um incidente de segurança da informação de um ICS"? Na maioria dos casos, em uma instalação industrial, esta ação implica uma pós-análise do incidente e a adoção de medidas para adequar a proteção e as configurações em termos de segurança da informação e APCS para prevenir tal caso no futuro. Um caso de desligamento regular e posterior reinício de uma grande unidade tecnológica pode custar dezenas de milhões de rublos, o desligamento de uma unidade tecnológica com danos ao equipamento tecnológico pode custar centenas de milhões de rublos. E daí,todos os ataques e intrusões ocorrem tão rapidamente que o pessoal de serviço (o especialista em segurança da informação da instalação, pelo menos agora, não é o pessoal de serviço) não pode fazer nada? Na maioria dos casos, não. Os modernos softwares IDS, em conjunto com a análise do valor das conexões LAN do APCS, permitem formar cenários eficazes para a resposta do pessoal de plantão das instalações a incidentes nas redes industriais do APCS.
Desativar links desnecessários pode interromper o ataque ou impedir que ele se espalhe para outras LANs ICS conectadas. Claro, neste assunto, é necessário formar certos cenários para analisar mensagens IDS e avaliar a adequação da controlabilidade de um objeto em um incidente, com base no qual é necessário formular instruções para as ações do pessoal operacional e de serviço em condições de uma ameaça ou a implementação de um incidente de segurança da informação. Para implementar a função de desconectar conexões desnecessárias, um Painel de Controle LAN de Emergência do APCS pode ser fornecido, contendo disjuntores Ethernet.
E o último aspecto com relação à introdução de sistemas IDS modernos para sistemas de controle de processo. Parece-me que, pelo menos por hoje, o principal perigo para o sistema de controle de processos é o pessoal da própria instalação ou especialistas destacados. Além disso, considero-os perigosos mesmo que não tenham uma instalação para danificar o APCS ou eles próprios não saibam que o seu pen drive possui um programa de penetração no APCS, que é ativado automaticamente. A realidade atual é tal que reconfigurar qualquer terminal de proteção pode aumentar a carga da rede em 10% no modo de operação normal do processo técnico. Isso pode levar a uma falha de LAN no momento da transição do processo tecnológico para os modos pré-emergência e emergência e uma possível falha de proteções tecnológicas, danos ao equipamento.Esta circunstância deve levar os desenvolvedores de IDS a criar meios de exibir as principais métricas de redes tecnológicas de sistemas de controle de processo. Tais como: carregamento de vários segmentos de rede (média em um intervalo, máximo), tempo de resposta, exibição de fluxos de informações entre diferentes sub-redes para diagnosticar segmentação de LAN insuficiente, etc. Essas informações, me parece, serão solicitadas pelo pessoal operacional e permitirão manter o nível necessário de higiene do processo intercâmbio de dados tecnológicos em redes industriais da APCS.será procurado pelo pessoal operacional e permitirá manter o nível de higiene necessário do processo de troca de dados tecnológicos nas redes industriais do sistema de controle de processo.será procurado pelo pessoal operacional e permitirá manter o nível de higiene necessário do processo de troca de dados tecnológicos nas redes industriais do sistema de controle de processo.