Чек-лист по кибербезопасности для специалистов по автоматизации

2441 0 0

В статье приведён чек-лист по кибербезопасности, основанный на произошедших инцидентах и лучших практиках защиты информации в АСУ ТП. Данным чек-листом смогут воспользоваться специалисты по автоматизации, даже ничего не зная об информационной безопасности и не делая материальных затрат. Он поможет лучше защитить АСУ ТП от атак киберпреступников.

Табульда Анна, Чернущенко Светлана

Итак, у нас есть промышленное предприятие, руководство которого делает всё возможное, чтобы вести бизнес в сложных экономических условиях. Главные вопросы ежедневной повестки связаны с движением денежных средств, ростом продаж, качеством продукции и никак не затрагивают кибербезопасность.
Конечно, все мы следим за новостными лентами и постоянно слышим слова «кибер», «кибератака» и «информационная безопасность». И хотя у вас, скорее всего, есть общее понимание того, что эти слова означают, на самом деле они не сильно интересуют вас, ведь «инициаторами всех произошедших кибератак были террористические организации», не так ли? А ваше предприятие относится к малому или среднему бизнесу, и «никто по-настоящему не заинтересован в бизнесе такого масштаба», так что на самом деле «вся эта кибербезопасность не касается нас», верно?
Кибератаки осуществляются разными людьми по разным причинам. В любом случае, будь то организованные киберпреступники или неутомимый хакер-любитель, ваш бизнес находится под угрозой.

Угрозы безопасности АСУ ТП

Есть целый ряд статистических исследований, которые показывают, что киберпреступность в сфере систем автоматизации сегодня находится на подъёме [1–4]. Согласно данным немецкого Федерального управления по информационной безопасности (BSI), топ-10 угроз информационной безопасности промышленных систем автоматизации за 2016 год [5] выглядит так, как показано на рис. 1.
Рис. 1. Топ-10 угроз информационной безопасности промышленных систем автоматизации за 2016 год

Рис. 1. Топ-10 угроз информационной безопасности промышленных систем автоматизации за 2016 год

В таблице 1 приведены некоторые примеры реализации угроз, включая действия, которые могут привести к ним.
Таблица 1. Рис. 1. Топ-10 угроз информационной безопасности промышленных систем автоматизации за 2016 год

Таблица 1. Рис. 1. Топ-10 угроз информационной безопасности промышленных систем автоматизации за 2016 год

С наличием бизнес-конкуренции, современных программно-технических средств и «моды» на кибератаки шансы быть атакованным с каждым днём возрастают и затраты на восстановление системы тоже. Таким образом, проблема безопасности перерастает в бизнес-проблему, которая так же нуждается в управлении, как и любая другая угроза для вашего бизнеса.
Да-да, скажете вы, всё это ясно, но где найти средства?
В текущей экономической ситуации в полный рост встают совершенно иные проблемы: рост кредитных ставок, изменение курса валюты, сокращение штата, кассовый разрыв и т.д. Но большое складывается из меньшего, и даже ничего не зная о кибербезопасности и не делая материальных затрат, но будучи специалистом по автоматизации, при помощи данной статьи вы сможете заложить первый камень в фундамент защиты вашей АСУ ТП.
Мы составили чек-лист для специалистов по промышленным системам автоматизации, который основан на произошедших инцидентах и лучших практиках защиты информации в АСУ ТП и призван помочь вам не стать мишенью кибер-атаки.

Чек-лист по кибербезопасности

Съёмные носители

Используйте только учтённые носители информации (хорошо, если за вас это делает программное средство защиты, если же оно не установлено, регистрируйте носитель в журнале, присваивайте учётный номер). Используйте учтённый носитель только в рабочих целях и только на рабочей станции. Если есть возможность, лучше, чтобы учтённый носитель был персонально вашим.
Храните учтённые носители в безопасном месте (например, в запираемом шкафу), не берите учтённые носители домой, не давайте для личных целей сотрудникам и сами в личных целях не используйте.
Проверяйте учтённые съёмные носители перед использованием в АСУ ТП на вирусы.
Не подключайте сотовые модемы к рабочим станциям.

Сетевое оборудование

Проверьте, чтобы отсутствовали ресурсы, доступные одновременно из сети АСУ ТП и сети корпоративной ЛВС.
Для входа в интерфейс управления сетевого оборудования должны использоваться отдельные учётные записи.
Храните журналы событий сетевого оборудования не менее одного года.
Отключите неиспользуемые порты и разместите сетевое оборудование в запираемом шкафу.
Храните резервную копию конфигурации сетевого оборудования и эталонную копию встроенного ПО.

Управление доступом

Для доступа в операционную систему, а также в привилегированный конфигурационный режим должны быть созданы отдельные учётные записи, недоступные операторам.
Не сообщайте данные о своих учётных записях (логин, пароль) никому (даже сотруднику, который представился новым администратором).
Привилегии доступа должны быть назначены строго для выполнения служебных обязанностей и не сверх того.
Используйте только свою учётную запись, после окончания работы завершите сеанс своей учётной записи. Если смена учётной записи не предусмотрена технологическим процессом, необходимо ведение журнала для отсле-живания процесса смены пользователей. Помните, что это поможет при расследовании инцидентов и обезопасит вас.

Физический доступ

Ограничьте доступ ко всем системным блокам рабочих станций АСУ ТП путём их помещения в железные ящики с замками.
Пока железные ящики не установлены, заблокируйте порты и интерфейсы, которые вы не используете в рабочем процессе (если не на программно-аппаратном уровне, то с помощью воска, блокираторов, опечатывающих устройств).
Проверьте наличие замков на серверных стойках и шкафах автоматики.
И да: несколько недорогих IP-камер на наиболее критичных узлах АСУ ТП очень дисциплинируют операторов.

Документирование

Определите лица, ответственные за обеспечение защиты информации в АСУ ТП.
Составьте и поддерживайте в актуальном состоянии список всех технических средств АСУ ТП, найдите по возможности эксплуатационную документацию на каждую систему.
Разработайте организационно-распорядительные документы (в виде отдельных инструкций или в рамках общей политики обеспечения ИБ), определяющие правила и процедуры по защите информации в АСУ ТП, в которых будут введены ограничения на несанкционированные действия персонала, описаны правила разграничения доступа, указаны требования к паролям и т.д.

Удалённый доступ

Не используйте удалённый доступ, если таковой не предусмотрен в целях реализации рабочего процесса. Помните, чтобы удалённым доступом не смог воспользоваться злоумышленник, требуются настройки специализированных средств защиты информации и сетевой инфраструктуры.
Для удалённого доступа (если таковой разрешён сотруднику официально) используйте сложные пароли и дополнительные процедуры для аутентификации (многофакторную аутентификацию, например).
Используйте защищённые протоколы передачи данных для удалённого доступа (например, SSL, TLS).
Отключайте неиспользуемые и ненужные сервисы и службы, чтобы они не стали уязвимым звеном, через которое возможна атака.
Используйте только персональные средства аутентификации для удалённого доступа.

Мобильные устройства

Не подключайте мобильные устройства, если это запрещено регламентом.
Не устанавливайте приложения для мобильных устройств из недоверенных источников.
Не осуществляйте манипуляции, которые запрещены или влияют на безопасность мобильного устройства (jailbreaking, rooting).

Пароли

Проверьте наличие паролей на всех устройствах, интерфейсах контрол-леров, схемах SCADA, административных и пользовательских учётных записях средств вычислительной техники.
Никогда не оставляйте пароли по умолчанию, применяйте сложные и надёжные пароли с наличием специальных символов и разных регистров (если позволяет техническая возможность). Меняйте регулярно пароли.
Если записали пароль на бумажку, уберите её в надёжное место.

Программное обеспечение, подключения

Используйте на рабочих станциях только ПО, необходимое для выполнения ваших функциональных обязанностей.
Не открывайте вложения в письмах с незнакомыми расширениями, от незнакомых адресатов. Не игнорируйте предупредительные сообщения от программ.
Не подключайте непредусмотренные беспроводные устройства в сеть, даже если это очень удобно для вас. Поделитесь с начальством вашими светлыми идеями по оптимизации рабочего процесса. Помните, что беспроводные соединения должны быть соответствующим образом защищены.

Мониторинг событий и оповещение об инцидентах

Просматривайте журналы событий ОС, прикладных программ и оборудования. Обратите внимание на события, связанные с попытками получения доступа к управлению компонентами АСУ ТП и средствами защиты, с изменениями конфигураций компонентов АСУ ТП, с изменениями прав доступа, с попытками несанкционированного подключения к сетевой инфраструктуре.
Собирайте и анализируйте статистику работы узлов АСУ ТП на предмет сбоев. Цель – исключить недобросовестных вендоров, которые могут подзарабатывать на «поддержке и восстановлении».
Сообщайте о подозрительных изменениях в работе ПО и рабочей станции в целом ответственному за защиту информации в АСУ ТП и/или начальству.

Обновление и резервное копирование

Регулярно и своевременно обновляйте системное и прикладное ПО, помните, что многие эксплуатируемые уязвимости можно закрыть.
Помните, что перед установкой обновлений необходимо протестировать их на совместимость с уже установленным программным обеспечением.
Проводите регулярное периодическое резервное копирование информации, конфигураций программного обеспечения.

Вы должны признать, что ваше предприятие может стать мишенью киберпреступников и обязаны обеспечить выполнение основных мер кибербезопасности, чтобы, как минимум, сделать себя целью посложнее. Это похоже на то, как антилопы сражаются за свою безопасность: вам не нужно обогнать льва, который охотится на вас, чтобы выжить, вам нужно обогнать других антилоп… •

Литература

ICS-CERT MONITOR: May/June 2016 [Электронный ресурс] // ICS-CERT MONITOR. – Режим доступа : https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_May-Jun2016_S508C.pdf.
Безопасность АСУ ТП в цифрах [Электронный ресурс] // Positive Technologies. – Режим доступа : https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf.
Добывающая промышленность становится одной из ключевых целей хакеров [Электронный ресурс] // Anti-Malware. – Режим доступа : https://www.anti-malware.ru/news/2016-08-11/20679.
Кибербезопасность промышленных систем: ландшафт угроз [Электронный ресурс] // SecureList. – Режим доступа : https://securelist.ru/analysis/obzor/28866/industrial-cybersecurity-threat-landscape/.
Industrial Control System Security. Top 10 Threats and Counter-measures 2016 [Электронный ресурс] // Federal Office for Information Security. – Режим доступа : https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005E.pdf%3bjsessionid=56E8678A780B64F228E0E4989DA3FB35.2_cid369?__blob=publicationFile&v=3
Злоумышленники используют бэкдор Gcat для кибератак на энергетические компании Украины [Электронный ресурс] // Хабрахабр. – Режим доступа : https://habrahabr.ru/company/eset/blog/276325/.
В компьютерах блока «В» немецкой АЭС было найдено вредоносное ПО [Электронный ресурс] // 3Dnews. – Режим доступа : http://www.3dnews.ru/932167.
ICS-CERT MONITOR: January/February 2016 [Электронный ресурс] // ICS-CERT MONITOR. – Режим доступа : https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Jan-Feb2016_S508C.pdf.
Wi-Fi, модемы, TeamViewer и прочие ужасы ИБ АСУ ТП [Электронный ресурс] // Zlonov.ru. – Режим доступа : http://zlonov.ru/2016/04/ics-security-horrors/.