+7 (343) 383-23-99 Обратная связь Карта сайта
Главная>Пресс-центр>Новости Госкорпорации>Как обеспечивается кибербезопасность российских АЭС

Как обеспечивается кибербезопасность российских АЭС

29.03.2016

Автор: Николай Носов 

В последнее времяв СМИ стали часто появляться сообщенияо хакерских атаках на физические объекты. В связис этим возникает вопрос: насколько защищены наши атомные электростанции? Об этоми о других предметах, связанных с кибербезопасностью АСУ ТП атомных станций, мы расспросили Вадима Подольного, заместителя технического директора, директора департамента разработки ПО и кибербезопасности компании «Русатом — Автоматизированные Системы Управления».

PC Week: Может ли хакер проникнутьв однуиз подсистем АЭС и, например, поднять стержни, вызвав расплавление активной зоны или аварию типа Чернобыльской?

Вадим Подольный: АСУ ТП атомной электростанции находитсяв изолированной сети и от Интернета отключена. Никто не может подключитьсяк АСУ ТП и начать нелегитимно управлять АЭС, например, отдавать команды на извлечение регулирующих стержней — за это отвечает система безопасности АЭС, работающая на строго заданных алгоритмах.

PC Week: Как выглядит архитектура кибербезопасности АЭС?

В. П.: У АЭС, каки у любого крупного промышленного объекта автоматизации, можно выделить логически пять контуров кибербезопасности. В первом находятся все датчики, подключенныек программно-логическим контроллерам (ПЛК).

Во втором контуре информацияс ПЛК собираетсяи приводитсяв единообразный вид. Это так называемый шлюзовой контур, в нем находится шлюзовое оборудование. В нем же собираемая информация обрабатываетсяи передаетсяв локальную сеть системы верхнего блочного уровня (СВБУ).

Третий — контур оперативного управления. В нем находится СВБУ, с которой взаимодействует оператор, управлящий технологическим оборудованием АЭС.

Четвертый — контур неоперативного управления. В нем автоматизированные рабочие места (АРМ) снабжены средствами визуализации технологических процессов, но лишены возможности управления. За данными АРМ работают технологи, отвечающие за конкретную подсистему АЭС. Связь технологовс операторами по месту обеспечивается по изолированным каналамв голосовом режиме.

И, наконец, пятый контур — контур внешнего доступа. Он предназначен для сопряжения с кризисным центром, в который поступает информацияо состоянии АЭС через протокол удаленного доступа без возможности управления.

Все контуры изолируются друг от друга различными мерами.

PC Week: Но получается, чтоуАЭС есть внешний канал связис кризисным центром?

В. П.: Да есть. Эта связь идет по автономным изолированным от Интернета каналам связи. Кризисный центр предназначен для мониторинга параметров работы АЭСв различных режимах эксплуатации систем.

PC Week: Недавно сообщалось, что отключение 23 декабря 2015 г. электричества в большей части Ивано-Франковской области Украины было вызвано хакерской атакой на компьютерные сети «Прикарпатьеоблэнерго». Четвёртого января аналитики американской iSIGHT Partners, занимающейся вопросами безопасности, получили примеры вирусного кодаи подтвердили, что именно он стал причиной инцидента. Компонент KillDisk, использованныйв атаке, включалв себя дополнительные функции, которые не просто делали перезагрузкукомпьютера невозможной, но блокировали АСУ производством электроэнергии, намного усложняя ее восстановление. Может ли подобное случиться на наших АЭС?

В. П.: Всегда легко во всем обвинить хакеров. Если произошёл какой либо технологический сбой, то конечно же удобно сказать, что это сделал хакер. Ведь кто такой хакер? Инженер, который решил стать злоумышленником. Хакер, способный осуществить какое-то реальное вредоносное воздействиеи несанкционированный доступк информации хотя бы на чтение — это инженер, который для того, чтобы получить доступ хотя бык пятому контуру, должен отлично знать, как устроены механизмы подключенияк нему. А значит, это внутренний нарушитель. Или он когда-то работалу наси получил необходимую информацию. Мы считаем, чтов случае АЭС потенциальный внешний нарушитель маловероятен. Этим мы руководствуемся при разработке моделей угроз, модели нарушителяи соответственно модели защиты.

PC Week: Нуа если сисадмин станции решил поработать удаленнои кинулк себе домой VPN-канал? А его домашний компьютер уже находится под внешним управлением...

В. П.: Начинаяс третьего контура сетевая структура АСУ ТП АЭС — это обычная сеть. Обычные коммутаторы, маршрутизаторы. Просто их технологическое исполнение подразумевает, что они должны выдерживать больше нагрузокс точки зрения внешних факторов, чем бытовые устройства. Но с точки зрения коммутации — это обыкновенное сетевое оборудование. Все это оборудование полностью изолировано от внешнихсетей подключения, так что VPN подключать просто некуда.

PC Week: А как жес разнообразной отчетностью для регуляторов? Данные по налогам, отчетыв пенсионный фонд. И должна же проходить на АЭС электронная почта?

В. П.: Да, на АЭС есть офисная сеть, например для документооборотаи т. д. Там используется обычное бытовое оборудование. С промышленной сетью АСУ ТП она вообще никак не сопрягается. Они изолированы друг от друга на физическом уровне. Офисная сеть также изолирована от Интернета.

PC Week: А что насчет флэшек? Предположим, сотрудникуАЭС пришло домой зараженное письмо, он его открыли случайно заразил свою флэшку. А потом воткнул ее в компьютерв сети на работе. И таким образом перенес туда зловредный код.

В. П.: В контурах управленияу нас используются сертифицированные операционные системы на базе Linuх. Исследовать Linux на уязвимости намного проще, чем Windows, как и проще выпустить дистрибутивс отключенными теми или иными функциями. То есть снизить число уязвимостей на этапе проектирования намного проще.

Флэшкув компьютеры на АЭС просто так не засунешь. Есть специальные помещения, в которых размещается оборудование, к которому можно получить доступ только согласно установленным процедурам. Когда станция работаетв режиме эксплуатации, доступк USB­порта отсутствует. Помещенияи компьютеры защищены системами физической защиты, имеются специальные организационные процедуры, которые регламентируют все работы с точки зрения информационной безопасности.

PC Week: А если это не просто хакеры, а спецслужбы других государств, использующие закладки на уровне контроллера? Такие, как при кибератаке на ядерные объекты Иранав 2009–2010 гг., когда из 19 тыс. центрифуг по обогащению урана около тысячи было выведено из строя?

В. П.: Правильней говорить не «закладка», а «недекларированная возможность»(НДВ). Это может быть не просто закладка, приводящаяк сбою, а код, проводящийк некорректной работе алгоритмов управления. Для нас важнее корректность работы программного обеспечения — платформы, прошивок контроллеров, коммутаторов, маршрутизаторов. Из­за их некорректной работы, например, может нарушиться работа промышленной сети.

АЭС — огромный объектс самым разнообразным оборудованием. Естьи иностранное, потому что не всё производитсяв России. Но все ключевые системы безопасности сейчас российской разработки, в том числес использованием иностранной электронной компонентной базы.

НДВ могут быть везде. В процессоре, в контроллере, в сервере, в маршрутизаторе, коммутатореи планшете. НДВ могут бытьв более высокоуровневом ПО, в операционных системах, прошивках оборудования. Да, ПО сертифицировано, но ни один разработчик не в состоянии провести полную ревизию исходного кода. Есть ПО, которое осуществляет непосредственно управление. Мы понимаем, чтои туда злоумышленник может внедрить НДВ, которыев самый ответственный момент активируются.

Страшно не то, что произойдет сбой, который приведет, например, к остановуреактора, а когда специально подстроено, чтобы система неправильно себя вела таким образом, чтобы вывести из строя дорогостоящее оборудование. Когда НДВ будет завышать или занижать показатели, некорректно воспроизводить алгоритм управления. Предположим, реализована атака для занижения мощности реактора на 10%. На самом деле реактор уже достиг 100%-ной мощности, а алгоритм управления продолжает повышать её. Аварии при этом не произойдёт, реактор будет остановлен, но его простой стоит очень дорого. Падает КПД АЭС (коэффициент использования установленной мощности, КИУМ). Это фактически прямой удар по прибыли.

От НДВ можно защититься глубоким анализом исходного кода, который мы стараемся получать от производителей оборудования, а также умением самостоятельно прошивать все используемые контроллеры, коммутаторыи маршрутизаторыи прочее оборудование.

Абсолютно всё импортозаместить невозможно. Поэтому наша основная задача — сделать из недоверенных компонентов доверенную систему. Именно так ставится вопрос о кибербезопасности АЭСи подобных объектах во всем мире.

PC Week: И как можно этого добиться?

В. П.: Один из механизмов обеспечения кибербезопасности — собственная программная платформа, разрабатываемая нашей компанией для сопряжения всех устройств, транспорта данныхи визуализации технологических процессовв виде мнемосхем, графикови другихграфических примитивов, генерации отчетови т. д. У нас есть и аппаратная платформа, разрабатываемая предприятиями ГК Росатом. С помощью нашей программно-аппаратной платформы мы и собираем из недоверенных компонентов доверенную систему, где есть все механизмы сопряжения оборудования, синхронизации данных, визуализации технологических процессови т. д.

Основным плюсом является то, что нашуплатформу мы можем верифицировать с помощью тренажерови симуляторв. Кроме стандартных исследований исходного кода на кибербезопасность, статическогои динамического анализа, тестов на проникновение мы ещеи сравниваемв различных режимах эксплуатации реальную системуи её модель на симуляторе на предмет расхождения контролируемых параметров. Если злоумышленник захочет разместитьв системе НДВ, то ему придется это сделать не только на рабочей платформе, но и на симуляторе. А они работают на разных принципахи на разном ПО. Это гораздо сложнее, чем взломать одну систему.

С точки зрения технологического развития решений мы исследуем возможность промышленного применения систем анализа большого объема структурированных данных, machine learning, систем искусственного интеллекта, предсказывающих динамику развития событийв АСУ ТП АЭСи подсказывающих оператору алгоритм действийв тех или иных ситуациях, например, экспертной системы поддержки принятия решения (СИПО).

PC Week: В чем специфика кибербезопасности АСУ ТП?

В. П.: Основная угроза кибербезопасности АСУ ТП — воздействие на технологический процесс. Если заранее знаешь, как он должен протекать, то защитить его идеологически намного проще, чем компьютер домохозяйки, которая не планирует своих действий.

Объект АЭС нельзя защитить внешней «нашлепкой». Система должна обладать естественной функцией внутренней защиты. Нельзя забывать, что технологический объект прежде всего должен работать, не должна падать скорость, снижаться эффективность из­за «нашлепок», обеспечивающих кибербезопасность. В отличие от офисных сетей никакие блокирующие воздействия на компоненты АСУ ТП подсистемы кибербезопасности осуществлять не имеют права, это может привестик аварии.

PC Week: Куда движется рынок кибербезопасности АСУ ТП?

В. П.: Рынок движетсяк разработке программных решений, позволяющих анализировать прошивкуконтроллера как черного ящика. Многие производители еще не готовык тому, чтобы открывать исходный код прошивок своих контроллеров. Но мы обязательно придем к тому, что на критически важные объекты типа АЭС такие контроллеры покупать не будут. Хочешь поставить контроллер — покажи исходный код. Потребитель всегда должен иметь возможность прошивкуперепрошить.

С точки зрения кибербезопасности программного обеспечения рынок движетсяк созданию систем, работающихв псевдореальном временис такой же скоростью, с какой работает АСУ ТП, и располагающих средствами анализа промышленных протоколов. Не факт, что это спасёт, какс помощью анализа трафика понять, хороший это пакет или плохой? Тем не менее как дополнительная сигнализация такие системы могут быть использованы.

Услуги, которые сейчас могут потребоваться на атомном рынке — наработка кейсов, необходимых для включенияв такие документы, как модель угрози модель защиты. Мы должны иметь возможность до проектирования системыи закупки оборудования собирать все требуемые документы из разных кусочков — базы данных уязвимостей, инцидентов, угроз. И делать это на основе общемирового опыта. Именно это позволит автоматизировать процесс анализа требованийк защищенностии разработке кибербезопасности критически важных объектов (КВО).

А кроме того надо понимать, что сама по себе система кибербезопасности АСУ ТП работать не может. Она должна иметь точки сопряжения, чтобы инженеры, разрабатывающие комплексные промышленные системы автоматизации, могли обеспечить глубокую интеграциюи взаимодействиес ней.

Еще один общий тренд — сопряжение большего количества подсистем КВОс АСУ ТП. Подсистема кибербезопасности будет плотно интегрированас системами контроля и управления доступом, пожарной безопасности, видеонаблюденияи др. Перспективными являются системы комплексного анализа безопасностии сопряженияс компонентами защиты информации, глубоко интегрированными внутрь аппаратно-программной платформы АСУ ТП, такими как авторизация, идентификация, разграничение доступа, и разработка соответствующей комплексной политики кибербезопасности.

PC Week: Спасибо за беседу. 

http://www.pcweek.ru/security/article/detail.php?ID=184215

Отправить ссылку
E-mail получателя:
Имя отправителя:
E-mail отправителя:
Текст сообщения:
Отправить