Представляем интервью с Андреем Нуйкиным, начальником отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ, ЕВРАЗ, опубликованное в журнале Information Security #1-2017.

В сегодняшнем мире технологические сети все больше развиваются и активно обмениваются информацией с корпоративными системами, что неизбежно ведет к их взаимной интеграции. Это несет серьезные риски, так как корпоративная сеть более подвержена различным атакам и вирусам. И то, что в корпоративной сети приведет, например, к отсутствию почты, или доступа в интернет, в технологической сети приведет к остановке производства, катастрофе и человеческим жертвам.

Начальник отдела обеспечения безопасности информационных систем Андрей Нуйкин рассказал редакции как в компании ЕВРАЗ реализована система защиты АСУ ТП.

— В чем состоит специфика защиты АСУ ТП? Чем она обусловлена?

— Технологические сети, или АСУ ТП, являются специфическими сетями. Специфика заключается в том, что данные сети зачастую управляют очень опасными производствами в реальном времени. Малейший сбой или задержка сигнала может привести к катастрофе и человеческим жертвам. Соответственно, внедряя какие-либо решения по безопасности, мы должны быть очень осторожны. Нельзя просто взять и поставить средство защиты в технологическую сеть. Необходимо тщательно все протестировать и убедиться в том, что внедряемое средство защиты не приведет к задержкам, искажениям и сбоям. Простейший антивирус при неправильной настройке может привести к повышению нагрузки на процессор и, соответственно, замедлению реакции системы на сигналы от контроллеров и датчиков. Не говоря уже о системах предотвращения вторжений и других средствах, имеющих возможность разрывать соединения или вмешиваться в процессы функционирования систем. В нашей практике был случай, когда ошибка в прошивке оборудования именитого производителя приводила к задержке переключения каналов в несколько миллисекунд, а это приводило к сбоям технологического оборудования. В корпоративной сети задержки переключения или передачи информации не являются столь критическими, но в технологических сетях такая задержка переключения приводит к сбоям процессов. Большую роль также то, что большинство технологических сетей создавались очень давно. Соответственно, внесение каких-либо изменений в настройки системы или процессы функционирования затруднено или невозможно в силу отсутствия разработчиков, невозможности внесения изменений и т.д. 

— В современном мире технологические и корпоративные сети активно обмениваются информацией, что неизбежно ведет к их взаимной интеграции. В чем заключается главная опасность такого взаимопроникновения сетей?

— В современном мире онлайн-управление играет важную роль в работе производства. Руководству необходимо иметь актуальную информацию по текущему состоянию производства, его загруженности, сбоях и т.д. Исходя из полученной информации, требуется посылать управляющие сигналы. Отсюда возникла необходимость связи между корпоративной и технологической сетями. В те времена, когда этот процесс только начинался, об опасностях, связанных с этим, не задумывались. Изначально информация передавалась из технологической сети в корпоративную. Казалось, что наличие межсетевого экрана и антивируса способно полностью защитить компанию. Однако в современном мире опасность взлома сетей и кибертероризма вышла на первый план. Компании осознали, что те опасности, с которыми в корпоративной среде уже привыкли бороться и имеют большой арсенал средств борьбы, теперь угрожают и технологическим сетям. При этом имеющиеся корпоративные средства защиты нельзя применить в технологической сети. А ущерб от взлома АСУ ТП может быть гораздо больше. Простой вирус в корпоративной сети приведет в худшем случае к простою в работе, а в технологической сети может привести к катастрофе с человеческими жертвами. Известный случай с доменной печью в Германии. В результате проникновения была нарушена взаимосвязь между контроллером и панелью управления. На панели управления отображались неверные данные и не позволяли управлять печью. В результате специалисты вынуждены были перейти в ручной режим управления для предотвращения катастрофы. 

— Как бороться с такими угрозами?

— Бороться необходимо различными средствами, Начиная от специализированных средств защиты и до разделения сетей и ограничения доступа из корпоративной сети к технологической. Ранее, когда связи между сетями не было, проблем было меньше. Опасности корпоративной сети не могли напрямую попасть в АСУ ТП. Перенос файлов осуществлялся посредством дискет или позже – флеш-дисков, и можно было простыми средствами обеспечить защиту. Сейчас, при взаимной интеграции сетей, проникновение угроз стало гораздо проще. Зачастую между сетями нет никаких средств разграничения доступа или межсетевого экрана, а на рабочих станциях нет антивируса или других средств защиты. Отсюда возникает ситуация, когда простой вирус спокойно может заразить как корпоративные компьютеры, так и технологические и привести к сбоям и выходу из строя производственного оборудования. Если же какие-то правила разграничения доступа все-таки присутствуют, то возникает пресловутый человеческий фактор. Многие администраторы для облегчения удаленного доступа к оборудованию оставляют себе "проходы" в средствах защиты, как бы маленькие калитки сбоку от основных охраняемых ворот. Таким образом, взлом компьютера администратора приведет к проникновению в технологическую сеть как раз через такую калитку. Поэтому первым делом необходимо четко разделить и разграничить доступ из одной сети в другую. Кроме этого, не должно быть прямых связей между системами технологической и корпоративной сетей, Только через демилитаризованную зону с проверкой на легитимность и безопасность. Далее – антивирусы, установка обновлений, контроль доступа к USB-портам и т.д. Еще необходимо обучать персонал, объяснять основные принципы информационной безопасности наравне с техникой безопасности на производстве.

Полную версию интервью читайте в электронной версии журнала Information Secrity #1-2017 >