Сравнение безопасности промышленных систем управления и ИТ-систем
Промышленные системы управления контролируют физический мир, а ИТ-системы управляют данными. Промышленные системы управления имеют много характеристик, которые отличаются от традиционных ИТ-систем, включая различные риски и приоритеты. Некоторые из них включают значительный риск для здоровья и безопасности человеческих жизней, серьезный ущерб окружающей среде и финансовые проблемы, такие как производственные потери и негативное влияние на экономику страны. Промышленные системы управления предъявляют различные требования к производительности и надежности, а также используют операционные системы и приложения, которые могут считаться нетрадиционными в типичной сетевой среде ИТ. Защитные меры должны быть реализованы таким образом, чтобы поддерживать целостность системы как во время обычных операций, так и во время кибератак [17].
Первоначально ICS имели мало общего с ИТ-системами, поскольку Промышленные системы управления были изолированными системами, работающими по собственным протоколам управления с использованием специализированного оборудования и программного обеспечения. Широко доступные недорогие устройства Ethernet и IP теперь заменяют старые собственные технологии, что увеличивает вероятность уязвимостей и инцидентов кибербезопасности.
Поскольку Промышленные системы управления принимают ИТ-решения для продвижения корпоративных возможностей подключения и удаленного доступа, а также разрабатываются и внедряются с использованием стандартных отраслевых компьютеров, операционных систем (ОС) и сетевых протоколов, они начинают напоминать ИТ-системы. Эта интеграция поддерживает новые ИТ-возможности, но обеспечивает значительно меньшую изоляцию ICS от внешнего мира, чем предшествующие системы, что создает большую потребность в защите этих систем. Хотя решения по безопасности были разработаны для решения этих проблем безопасности в типичных ИТ-системах, при внедрении этих же решений в среды ICS необходимо принимать особые меры предосторожности.
В некоторых случаях необходимы новые решения по безопасности, адаптированные к среде ICS. Среды, в которых работают Промышленные системы управления и ИТ-системы, постоянно меняются. Среды эксплуатации включают, помимо прочего: пространство угроз; уязвимости; миссии/бизнес-функции; миссии/бизнес-процессы; архитектуры безопасности предприятия и информации; информационные технологии; персонал; объекты; отношения в цепочке поставок; организационное управление/культура; процессы закупок/приобретений; организационные политики/процедуры; организационные предположения, ограничения, толерантность к риску и приоритеты/компромиссы).
Ниже перечислены некоторые особые соображения при рассмотрении безопасности для ICS:
Требования к своевременности и производительности. Промышленные системы управления, как правило, критичны ко времени, а критерий приемлемых уровней задержки и дрожания диктуется индивидуальной установкой. Некоторые системы требуют надежных, детерминированных ответов. Высокая пропускная способность, как правило, не является существенной для ICS. Напротив, ИТ-системы, как правило, требуют высокой пропускной способности, и они, как правило, могут выдерживать определенный уровень задержки и дрожания. Для некоторых ICS очень важно время автоматического отклика или реакция системы на взаимодействие с человеком. Некоторые Промышленные системы управления построены на операционных системах реального времени (RTOS), где реальное время относится к требованиям своевременности. Единицы реального времени сильно зависят от приложения и должны быть явно указаны.
Требования к доступности.
Многие процессы ICS носят непрерывный характер. Неожиданные отключения систем, управляющих промышленными процессами, недопустимы. Отключения часто должны планироваться и планироваться за несколько дней или недель вперед. Исчерпывающее тестирование перед развертыванием необходимо для обеспечения высокой доступности (т. е. надежности) ICS. Системы управления часто невозможно легко остановить и запустить, не влияя на производство. В некоторых случаях производимая продукция или используемое оборудование важнее передаваемой информации. Поэтому использование типичных ИТ-стратегий, таких как перезагрузка компонента, обычно не является приемлемым решением из-за неблагоприятного воздействия на требования к высокой доступности, надежности и ремонтопригодности ICS. Некоторые Промышленные системы управления используют избыточные компоненты, часто работающие параллельно, для обеспечения непрерывности, когда основные компоненты недоступны. Требования к управлению рисками. В типичной ИТ-системе конфиденциальность и целостность данных обычно являются основными проблемами. Для ICS основными проблемами являются безопасность человека и отказоустойчивость для предотвращения гибели людей или угрозы общественному здоровью или доверию, соблюдение нормативных требований, потеря оборудования, потеря интеллектуальной собственности или потеря или повреждение продуктов.
Персонал, ответственный за эксплуатацию, обеспечение безопасности и обслуживание ICS, должен понимать важную связь между безопасностью и защитой. Любая мера безопасности, которая ухудшает безопасность, неприемлема.
Физические эффекты. Полевые устройства ICS (например, ПЛК, станция оператора, контроллер DCS) напрямую отвечают за управление физическими процессами. Промышленные системы управления может иметь очень сложные взаимодействия с физическими процессами и последствиями в области ICS, которые могут проявляться в физических событиях. Понимание этих потенциальных физических эффектов часто требует общения между экспертами в системах управления и в конкретной физической области.
Эксплуатация системы.
Операционные системы (ОС) ICS и сети управления часто сильно отличаются от аналогов в ИТ, требуя других навыков, опыта и уровней знаний. Сети управления обычно управляются инженерами по управлению, а не ИТ-персоналом. Предположения о том, что различия незначительны, могут иметь катастрофические последствия для работы системы.
Ограничения ресурсов.
Промышленные системы управления и их ОС реального времени часто являются системами с ограниченными ресурсами, которые не включают типичные современные возможности безопасности ИТ. Устаревшим системам часто не хватает ресурсов, обычных для современных ИТ-систем. Во многих системах могут отсутствовать требуемые функции, включая возможности шифрования, регистрацию ошибок и защиту паролем. Неразборчивое использование методов безопасности ИТ в Промышленные системы управления может привести к сбоям в доступности и синхронизации. На компонентах ICS может не быть доступных вычислительных ресурсов для модернизации этих систем с использованием текущих возможностей безопасности. Добавление ресурсов или функций может оказаться невозможным.
Коммуникации.
Протоколы связи и среды, используемые средами ICS для управления полевыми устройствами и внутрипроцессорной связи, обычно отличаются от большинства ИТ-сред и могут быть запатентованными.
Управление изменениями.
Управление изменениями имеет первостепенное значение для поддержания целостности как ИТ, так и систем управления. Неисправленное программное обеспечение представляет собой одну из самых больших уязвимостей системы. Обновления программного обеспечения в ИТ-системах, включая исправления безопасности, обычно применяются своевременно на основе соответствующей политики и процедур безопасности. Кроме того, эти процедуры часто автоматизированы с использованием серверных инструментов. Обновления программного обеспечения в ICS не всегда могут быть внедрены своевременно. Эти обновления должны быть тщательно протестированы как поставщиком приложения промышленного управления, так и конечным пользователем приложения перед внедрением.
Кроме того, владелец ICS должен планировать и составлять график простоев ICS за несколько дней/недель. Промышленные системы управления также может потребовать повторной проверки в рамках процесса обновления. Другая проблема заключается в том, что многие Промышленные системы управления используют старые версии операционных систем, которые больше не поддерживаются поставщиком. Следовательно, доступные исправления могут быть неприменимы. Управление изменениями также применимо к оборудованию и встроенному программному обеспечению. Процесс управления изменениями, применяемый к ICS, требует тщательной оценки экспертами ICS (например, инженерами по управлению), работающими совместно с персоналом по безопасности и ИТ.
Управляемая поддержка.
Типичные ИТ-системы допускают диверсифицированные стили поддержки, возможно, поддерживая разрозненные, но взаимосвязанные технологические архитектуры. Для ICS поддержка обслуживания иногда осуществляется через одного поставщика, который может не иметь диверсифицированного и совместимого решения поддержки от другого поставщика. В некоторых случаях сторонние решения безопасности не допускаются из-за лицензии поставщика ICS и соглашений об обслуживании, и потеря поддержки обслуживания может произойти, если сторонние приложения установлены без подтверждения или одобрения поставщика.
Срок службы компонента.
Типичные ИТ-компоненты имеют срок службы порядка 3–5 лет, с краткостью из-за быстрого развития технологий. Для ICS, где технология была разработана во многих случаях для очень специфического использования и внедрения, срок службы развернутой технологии часто составляет порядка 10–15 лет, а иногда и дольше.
Расположение компонента.
Большинство ИТ-компонентов и некоторые Промышленные системы управления расположены в деловых и коммерческих помещениях, физически доступных для местного транспорта. Удаленные местоположения могут использоваться для резервных объектов. Распределенные компоненты ICS могут быть изолированными, удаленными и требовать значительных транспортных усилий для достижения. Расположение компонентов также должно учитывать необходимые физические и экологические меры безопасности. Подводя итог, можно сказать, что эксплуатационные и рисковые различия между ICS и ИТ-системами создают необходимость в повышении сложности применения кибербезопасности и эксплуатационных стратегий. Кросс-функциональная команда инженеров по управлению, операторов систем управления и специалистов по ИТ-безопасности должна тесно сотрудничать, чтобы понять возможные последствия установки, эксплуатации и обслуживания решений по безопасности в сочетании с эксплуатацией системы управления. ИТ-специалисты, работающие с ICS, должны понимать влияние технологий информационной безопасности на надежность перед развертыванием. Некоторые ОС и приложения, работающие на ICS, могут работать некорректно с готовыми коммерческими (COTS) решениями по кибербезопасности ИТ из-за специализированных архитектур среды ICS.
Другие типы систем управления
Хотя это руководство содержит рекомендации по защите ICS, другие типы систем управления имеют схожие характеристики, и многие рекомендации из этого руководства применимы и могут использоваться в качестве справочного материала для защиты таких систем от угроз кибербезопасности. Например, хотя многие системы зданий, транспорта, медицины, безопасности и логистики используют другие протоколы, порты и службы, а также настраиваются и работают в других режимах, чем Промышленные системы управления, они имеют схожие характеристики с традиционными ICS.
Примерами некоторых из этих систем и протоколов являются:
Другие типы систем управления
Расширенная инфраструктура учета.
Системы автоматизации зданий.
Системы управления зданием.
Системы видеонаблюдения с замкнутым контуром (CCTV).
Мониторинг CO2.
Системы цифровых вывесок.
Системы цифрового управления видео.
Электронные системы безопасности.
Системы управления в чрезвычайных ситуациях.
Системы управления энергопотреблением.
Системы управления наружным освещением.
Системы пожарной сигнализации.
Системы пожаротушения.
Системы управления внутренним освещением.
Системы обнаружения вторжений.
Системы контроля физического доступа.
Общественная безопасность/наземные мобильные радиостанции.
Геотермальные системы на основе возобновляемых источников энергии.
Фотоэлектрические системы на основе возобновляемых источников энергии.
Системы управления затенением.
Системы дымоудаления и продувки.
Вертикальная транспортная система (лифты и эскалаторы).
Системы управления лабораторными приборами.
Системы управления лабораторной информацией (LIMS).
Средства управления безопасностью, являются общими и достаточно гибкими для оценки других типов систем управления, но эксперты в данной области должны рассмотреть средства управления и адаптировать их соответствующим образом для учета уникальности других типов систем управления. Не существует «универсального решения», и риски могут быть разными даже в пределах определенной группы. Например, здание имеет много различных подсистем, таких как автоматизация здания, пожарная сигнализация, контроль физического доступа, цифровые вывески, видеонаблюдение и т. д.
Критические системы безопасности жизнедеятельности, такие как пожарная сигнализация и системы контроля физического доступа, могут привести к уровню воздействия «Высокий», в то время как другие системы, как правило, будут «Низкими». Организация может решить оценивать каждую подсистему по отдельности или решить использовать агрегированный подход. Оценка систем управления должна быть связана с воздействием на бизнес, планом действий в чрезвычайных ситуациях и планом реагирования на инциденты, чтобы гарантировать, что критически важные функции и операции организации могут быть восстановлены и возобновлены, как определено целями времени восстановления организации.