Как да не обезвредим градските митове за безопасността на ICS
Как да не обезсилите града: митове за безопасността на ICS
Представете си промишлено предприятие, чиито агрегати трябва да се управляват според даден алгоритъм. Претегляме тази инсталация с различни сензори и изпълнителни механизми и я свързваме с PLC контролер, който изпълнява този алгоритъм. В същото време контролерът проверява нивата на температура, напрежение, налягане, следи оборотите на двигателя, включва и изключва различни механизми. И ако някои параметри надхвърлят разрешеното, това спира инсталацията или технологичния процес.
В допълнение към контролерите, човешки оператор също наблюдава процеса. И, разбира се, за него е неудобно да проследява информация от десетки, а често и стотици контролери. В индустриалната мрежа за оператора е инсталирана автоматизирана работна станция (AWS). Това е компютър с Windows, на който е инсталирана програма за показване на процеси (SCADA). SCADA показва показания от контролери, предоставя възможност за управление на механизми в ръчен режим и ви позволява да променяте някои параметри на технологичния процес, както и архивира архиви. На работната станция често се инсталира база данни за запис на статистически данни и генериране на отчети. В мрежата може да има няколко работни станции - броят им зависи от мащаба на производството и броя на операторите. AWP винаги са в една мрежа с контролери.
Когато говорят за безопасността на ICS, те често имат предвид само тези елементи на системата. Тогава се оказва, че основната заплаха са всички видове вируси и вътрешни атаки. Смята се, че има защита от тях и че тя ограничава информационната сигурност на APCS.
Много бизнеси вече са въвели подходящи предпазни мерки срещу вътрешни атаки. Първо, има строги системи за контрол на входа на предприятието и между отделите му. На второ място, това са всякакви разпоредби. Трето, повечето контролери имат възможността да задават парола, за да предотвратят неразрешено препрограмиране. Четвърто, ролевите модели са внедрени в повечето SCADA системи, тоест вътрешен човек, който не знае паролата на администратора, може да прави само това, за което той има права. Пето, няколко души често участват в мониторинга на системата - по този начин персоналът има възможност да проследява предварително негативните промени в системата, направени от вътрешен човек.
При такива условия, за да повлияе значително на технологичния процес, вътрешният човек ще трябва да се постарае много и в същото време ще осъзнае, че със сигурност ще бъде намерен.
Вирусна заплаха
Вирусите са опасно и много често нещо, особено ако операционната система е от семейството на Windows. Опасността от вируси се влошава от факта, че често антивирусният софтуер не е инсталиран на работната станция и ако е инсталиран, със сигурност не се актуализира. Смята се обаче, че тъй като технологичната мрежа не е свързана с нищо, вирусите не могат да се появят в тази изолирана среда.
Вярно е, че има всякакви носители, като флашки. Често се случва някой невнимателен служител (или същият вътрешен човек), в нарушение на разпоредбите, да донесе USB флаш устройство, да го вкара в работната му станция и да го зарази с някакъв вид злонамерен софтуер. Честа практика е, когато интеграторите на ICS систематично идват в предприятието и се занимават с почистване на работната станция от много вируси.
Но се смята, че вирусите в този случай не са толкова страшни. Да, вирус може да проникне в операционната система и да седне там. Може би AWP ще "забави". Но ако това е шпионаж, опит за кражба на информация или троянски кон, вирусът няма да може да изпраща информация в Интернет: мрежата е изолирана. Ако това е автономен вирус, за да повлияе на нещо, първо трябва да намери възможност да използва малко известни нестандартни протоколи, които също са до голяма степен обвързани с производителя. Второ, повечето технологични системи са уникални. Влиянието върху тях с автоматични методи, без човешка намеса, е почти нереалистично. Съответно вирусът трябва да е с изключително висока сложност и да бъде фино настроен за конкретна система, така че вероятността от такава атака е близка до нула.
Така че, изглежда, че информационната сигурност е на много приемливо ниво в момента. Но това впечатление е дълбоко погрешно. И сега ще видим защо.