Кибербезопасность промышленных сетей: основы
У специалистов по кибербезопасности нет единого алгоритма действий, все работают по-разному. Агентство по кибербезопасности и защите инфраструктуры США (CISA) ежемесячно публикует перечень новых уязвимостей, связанных с операционными технологиями (OT), и рекомендации по их устранению.
Некоторые общие вопросы кибербезопасности решает внедрение технических моделей «Индустрии 4.0», принципов интеллектуального производства или использование промышленного «Интернета вещей» (IIoT). Рассмотрим, как именно можно удовлетворять потребности бизнеса и в то же время смягчать риски кибератак.
Стратегии обеспечения кибербезопасности
Установление четких правил и следование им
Прежде всего, необходимо закрепить ответственность за работу промышленной сети организации за определенным отделом или специалистом, дав четкие ответы на следующие вопросы.
- Кто именно должен выполнять обеспечение безопасности сети: ИТ-отдел, штатные веб-мастера или непосредственно работающие с промышленной сетью инженеры?
- Все ли риски учитываются при составлении отчетов руководителям отделов ИТ и кибербезопасности?
- Проходят ли обучение по правильной сетевой работе все сотрудники, чья деятельность так или иначе связана с использованием промышленной сети?
- Своевременно ли доводится до них новая информация по кибербезопасности?
- Каким определенным стандартам и требованиям должна отвечать промышленная сеть и как именно проводить контроль соответствия?
По мере того как промышленные сети становятся чем-то большим, нежели просто средство связи устройств для управления технологическими процессами, производство, как правило, расширяется. Включение новых участков также необходимо учитывать при разработке стратегии кибербезопасности. Все сформулированные правила должны быть тщательно задокументированы.
Оценка текущего уровня кибербезопасности
Многие решения кибербезопасности, такие как, например, системы обнаружения вторжений (IDS – англ. Intrusion Detection System – система обнаружения вторжений. Это программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими, в основном через Интернет), предполагают, что управление сетевой инфраструктурой должно осуществляться только через коммутаторы. Чтобы соответствовать правилу сетевой изоляции, эти коммутаторы должны иметь более расширенный функционал, не просто связывая одно устройство с другим. Перед началом любого проекта по внедрению новых решений в области кибербезопасности или при изменении сетевой архитектуры необходимо оценить существующие сетевые коммутаторы и установленное антивирусное программное обеспечение. Не следует пропускать кажущиеся маловажными участки сети, потому что в дальнейшем они могут быть модернизированы и связаны с технологиями «Индустрии 4.0» или IIoT.
Определите, сколько свободных портов имеется у всех коммутаторов, есть ли у них поддержка необходимых технологий и каким образом осуществляется их управление. Отметьте, если будут обнаружены коммутаторы с занятыми портами без возможности удаленного доступа или не работающие с виртуальными сетями (VLAN). Полученные сведения можно использовать в последующем увеличении сети, заменяя сетевое оборудование там, где это необходимо. Отсутствие точного понимания слабых мест, имеющихся в настоящее время, может привести к ошибкам проектирования при модернизации и, как следствие, к необоснованным затратам.
Расчет сетевой инфраструктуры с запасом
Проводить организацию кибербезопасности, основываясь только на существующем оборудовании и ПО, — недальновидный подход. Необходимо учитывать внедрение новых технологий в будущем, рассчитывая сетевую инфраструктуру с запасом. Добавление новых устройств и решений в течение ближайших трех-пяти лет не должно сказываться на правильной эксплуатации сети.
Промышленные сети — это не только организация обмена данными по Ethernet или по беспроводной связи Wi-Fi. Крайне важно, чтобы все задействованные в производственном процессе сети, в том числе работающие с помощью GSM-устройств, LoRaWAN, LE Bluetooth и любые другие специфичные протоколы, были включены в план по обеспечению кибербезопасности.
Развитие производства неминуемо приведет к увеличению количества подключений с облачными сервисами, в сети участится передача «сторонних» пакетов данных от других служб и через Интернет. Разработка стратегии кибербезопасности без учета взаимодействия с интернет-сервисами усложнит устранение угроз в будущем.
Проверка возможностей кибербезопасности
Даже самые новые и эффективные решения в области кибербезопасности бесполезны без надлежащей реализации, дальнейшей поддержки и обслуживания. Должно сформироваться понимание, для кого предназначено то или иное решение и как оно будет эксплуатироваться. Готова ли организация проводить обучение персонала или же лучше нанять отдельного специалиста, способного обслуживать недавно внедренные инструменты кибербезопасности? Предусмотрен ли необходимый бюджет на поддержку? Какой должна быть реакция на обнаружение нарушения в 2 часа ночи? Какие обязанности будут у персонала, работающего на обслуживании реализованного решения? Ответы на эти вопросы помогут быстрее выявить слабые места в стратегии по обеспечению кибербезопасности.
Конкретные решения
Кроме перечисленных базовых стратегий, повысить кибербезопасность могут дополнительные меры. Расскажем о четырех наиболее важных.
- Сегментирование сети. Если устройства в промышленной сети слабо разделены между собой, хорошим началом повышения кибербезопасности будет создание большей сегментации для исключения потенциальных несанкционированных подключений. Кроме сужения широковещательного канала, когда передаваемая по сети информация доступна для приема всем участникам сети, сегментация может стать необходимым условием для установки брандмауэра и учитываться в стандартах безопасности, таких как ISA/IEC 62443. Коммутаторы, не поддерживающие виртуальную сеть VLAN, нуждаются в замене.
- Файерволы. Установка межсетевых экранов между промышленной и офисной сетями — еще один хороший шаг для ограничения подключения к устройствам и оборудованию. Следует выбирать брандмауэры, которые поддерживают промышленные протоколы связи и могут быть настроены в соответствии с требуемой пропускной способностью и количеством необходимых подключений в будущем.
- Размещение файервола нужно планировать так, чтобы минимизировать перебои в нормальной работе сети. Следует осторожно применять новые правила фильтрации, поэтапно блокируя нераспознанные подключения. Межсетевые экраны могут служить средством обеспечения безопасного доступа к промышленным сетям извне с помощью использования виртуальной частной сети (VPN). Это позволит переработать существующие технологии удаленного доступа и объединить их в централизованную и управляемую систему.
- Системы обнаружения/предотвращения проникновения в сеть. Как правило, системы обнаружения или предотвращения вторжения (IDS/IPS) анализируют сетевой трафик и предупреждают о неизвестных, подозрительных или неожиданных событиях.
- Для человеко-машинных интерфейсов (HMI) и систем диспетчеризации и сбора данных (SCADA) возможно включение host-based-аутентификации (без ввода логина и пароля) при условии, что защитное ПО не нарушает работу всей системы. Современные продукты систем обнаружения/предотвращения проникновения имеют функционал самообучения, анализируя работу сети и корректируя список сценариев, определяемых как потенциально опасные. В зависимости от конкретной IDS/IPS-системы может потребоваться изменение настроек сети, замена коммутаторов или добавление межсетевых экранов. Обо всех особенностях необходимо проконсультироваться с поставщиком данных продуктов.
- Программно-конфигурируемые сети (SDN, software-defined networking). Для организаций, стремящихся обеспечить более точный контроль над обменом данных, хорошим решением станут программно-конфигурируемые сети. В этом случае каждому устройству или группе устройств будет разрешено производить обмен данными только через определенные порты или протоколы, которые предусмотрены конфигурацией. Для реализации такого подхода могут потребоваться новые коммутаторы и специализированные контроллер-коммутаторы, но преимущества с точки зрения безопасности перевешивают сложности, связанные с установкой и настройкой.