Kontrollsystem säkerhet

Säkerheten för styrsystem  är att förhindra avsiktlig eller oavsiktlig störning av den korrekta driften av industriella automatiserade styrsystem (ACS). Dessa system hanterar idag alla större aktiviteter, inklusive kärnkraft och annan elkraft , oljeproduktion och transport, vattenförsörjning, transport, kommunikation och olika andra industrier och processer. Styrsystem inkluderar datorer, nätverk, operativsystem, applikationer och programmerbara och icke-programmerbara kontroller . Nästan vart och ett av dessa element kan innehålla säkerhetsbrister . Upptäckten 2010 av Stuxnet skadlig programvara visade på sårbarheten hos ICS för cyberincidenter. Sedan dess har olika regeringar börjat anta cybersäkerhetsbestämmelser som kräver ökat skydd av kontrollsystem som ansvarar för kritisk infrastruktur.

Säkerhet för kontrollsystem inkluderar säkerhet för industriella kontrollsystem (ICS), säkerhet för övervakning och datainsamling (SCADA), processkontrollsäkerhet, industriell nätverkssäkerhet och kontrollsystem för cybersäkerhet.

Risker

Ett intrång i ett industriellt kontrollsystems säkerhet kan leda till katastrofala konsekvenser i form av förlust av människoliv, negativ påverkan på miljön, skador på produktionskedjan, skador på utrustning, stöld av konfidentiell information och skada på företagets image. .

Under de senaste åren har det förekommit ett antal fel i driften av styrsystem, som fått mer eller mindre allvarliga konsekvenser och orsakats av både sammanträffanden av omständigheter och illvilliga handlingar. Här är några av dem:

• Rullande strömavbrott i flera regioner i USA och Kanada 2003. Orsaken till olyckan anses vara sammanträffandet av ett antal ogynnsamma faktorer, inklusive överbelastning av nätverket och datorfel.
• En olycka 2005 vid elektrisk transformatorstation nr 510 " Chagino ", som ett resultat av vilket ett antal distrikt i Moskva, Moskva-regionen och angränsande regioner berövades elektricitet. Orsaken till olyckan anses vara sammanträffandet av ett antal ogynnsamma faktorer: värdeminskning av utrustning, värme, oprofessionellitet hos de anställda.
• Attack av den industriella skadliga programvaran Stuxnet , som 2010 drabbade iranska industriföretag med anknytning till landets kärnkraftsprogram [1] .
• Katastrof 2011 vid kärnkraftverket i Fukushima. Dess orsak var en vanlig orsak till fel på utrustningen efter jordbävningen och tsunamin.
• Frånkoppling i slutet av 2015 av strömförsörjningen i ett antal regioner i Ukraina ( Ivano-Frankivsk , Chernivtsi och Kiev regioner). Orsaken till olyckan var effekten av skadlig programvara Industroyer, som introducerades, enligt representanter för ukrainska företag och underrättelsetjänster, av ryska hackare [2] . Strömavbrottet återkom i slutet av 2017. Ukrenergo anklagade återigen ryska inkräktare för detta [3] .

Sårbarhet i kontrollsystem

Industriella automations- och styrsystem har blivit mycket mer sårbara på grund av trender som har observerats under de senaste 15-20 åren. De främsta anledningarna till detta är:

• Ökat antagande av kommersiella standardprogram (COTS) och protokoll. Integrationen av teknologier som MS Windows, SQL och Ethernet gör att ICS nu ofta är sårbart för skadlig programvara som även påverkar offentliga nätverk.
• Företagsintegration (med fabriks-, företags- och till och med offentliga nätverk) innebär att äldre processkontrollsystem idag ofta utsätts för effekter som inte beaktades när de designades.
• Funktionell redundans av ACS-utrustning. Den utbredda användningen av komplexa programmerbara styrenheter och processorer för att styra standard- och enkla tekniska processer med ett förutbestämt spektrum av parametrar, där användningen av omodifierbara, så kallade " hård logik "-lösningar kan vara tillräcklig, gör dem sårbara för fel eller för omprogrammering och kontroll av inkräktare.
• Ökande efterfrågan på fjärråtkomst. 24/7-åtkomst för ingenjörs-, drift- eller tekniska tjänster, tillsammans med bekvämlighet, innebär en ökad risk för osäkra eller skadliga kopplingar till styrsystem.
• Tillgänglighet av information. Riktlinjer för användning av kontrollsystem finns tillgängliga för både legitima användare och angripare.

Motverka hot

En ökning av antalet och snabba förändringar i typerna av hot mot automatiserade företagskontrollsystem inträffade i början av 2000-talet. Med tanke på att det utbredda införandet av automatiserade processkontrollsystem ägde rum flera decennier tidigare, när nivån på sådana hot var storleksordningar lägre, är det viktigt att analysera de system som skapades då, med hänsyn till den nuvarande hotnivån [4] .

• Detaljerad granskning av företagens nätverkssäkerhet och deras processkontrollsystem. Särskild uppmärksamhet bör ägnas åt arkitekturen för de system som byggdes för flera decennier sedan, när risknivån var på en mycket lägre nivå. Granskning av riskerna för ACS-fel på grund av en gemensam orsak.
• Avvisande av redundanta system med omprogrammerbar logik. När antalet styruppgifter som ska utföras initialt är känt är det lämpligt att byta till system isolerade från externa nätverk med förutbestämd stel logik, där ingripande utifrån är praktiskt taget omöjligt.
• Införandet av de så kallade " diverse skyddssystemen " (diverse aktiveringssystem), när det befintliga automatiserade styrsystemet kompletteras med ett annat, byggt på annan mjukvara eller hårdvara och löser de viktigaste säkerhetsproblemen. Liknande system används redan vid vissa kärnkraftverk och rekommenderas för ännu större användning av IAEA [5] eftersom de minskar risken för vanliga fel, inte bara på grund av ett programmeringsfel eller skadlig hackerattack, utan också fenomen som t.ex. som överhettning på grund av fel, luftkonditioneringssystem, brand, översvämning under brandsläckning, etc. Liknande skyddssystem har implementerats av till exempel Fizpribor-anläggningen i Moskva vid kärnkraftverket Novovoronezh och implementeras för närvarande av det franska företaget Orano vid Brittiskt kärnkraftverk i Hinkley Point . Denna princip är dock tillämplig inte bara på kärnkraftsindustrin utan även på alla kontrollsystem för farliga tekniska processer.

Nationella regeringars insatser

Det är allmänt accepterat att ett av de första länderna som uttryckte oro inte bara för cybersäkerhet, utan om säkerheten för kontrollsystem, var USA. I synnerhet den amerikanska regeringens Computer Emergency Response Team (CERT) har etablerat Control Systems Security Program (CSSP) [6] , som tillhandahåller en stor uppsättning fria nationella standarder och tekniker [7] (NIST) relaterade till kontrollsystemsäkerhet.

De europeiska länderna visar också mer och mer oro över dessa frågor. Så, till exempel, i Tyskland, hanteras informationssäkerhet av Federal Office for Information Security (Das Bundesamt für Sicherheit in der Informationstechnik), och frågor om kritiskt viktiga objekt i den nationella IT-infrastrukturen och ekonomin, inklusive säkerheten för kontrollsystem National Centrum för cybersäkerhet . Dessutom, på initiativ av försvarsministeriet och Tysklands utrikesministerium, skapas en ny struktur - byrån för innovation och cybersäkerhet (Agentur für Innovation in der Cybersicherheit) [8] .

Ryssland gick enligt cybersäkerhetsindexet för 2017 [9] , som publiceras av International Telecommunication Union (ITU), in i gruppen av ledande länder och rankas som tionde – före Japan och Norge och efter Frankrike och Kanada. Federal Service for Technical and Export Control (FSTEC of Russia), som är ansvarig inför försvarsministeriet, hanterar säkerheten för industriella system på statlig nivå. I Ryssland, sedan april 2017, har den nationella standarden GOST R IEC 62443-3-3-2016 "Systemsäkerhetskrav och säkerhetsnivåer" införd på order från Federal Agency for Technical Regulation and Metrology daterad 1 juni 2016 N 469-st. varit i kraft [10] . Denna standard är harmoniserad med internationella säkerhetsstandarder för processtyrningssystem.

Internationella säkerhetsstandarder för processtyrningssystem

ISA/IEC-62443 har utvecklats av International Automation Association och är en uppsättning protokoll, tekniska rapporter och relaterad information som definierar procedurer för att implementera elektroniskt säkra industriella automations- och kontrollsystem. Denna standard gäller slutanvändare, systemintegratörer, säkerhetspersonal och tillverkare av kontrollsystem som ansvarar för tillverkning, design, implementering eller drift av industriella automations- och kontrollsystem.

Denna standard hette ursprungligen ANSI/ISA-99 eller ISA99, efter International Automation Association (ISA) som skapade den. 2010, på grund av harmoniseringen av ISA- och ANSI-dokument med relevanta standarder för International Electrotechnical Commission (IEC) , döptes standarden om till ANSI / ISA-62443.

Anteckningar

1. ↑ Stuxnet-attack mot Iran . Hämtad 5 oktober 2018. Arkiverad från originalet 11 september 2018. (obestämd)
2. ↑ Inuti det listiga, aldrig tidigare skådade hacket på Ukrainas elnät . Hämtad 5 oktober 2018. Arkiverad från originalet 5 oktober 2018. (obestämd)
3. ↑ Ukrainas strömavbrott var en cyberattack: Ukrenergo . Hämtad 5 oktober 2018. Arkiverad från originalet 5 oktober 2018. (obestämd)
4. ↑ Shults V. L., Kulba V. V., Shelkov A. B. Revision av informationssäkerhet för automatiserade kontrollsystem  // Trender och ledning: Journal. - 2014. - Nr 4 . — S. 319–334 . Arkiverad från originalet den 5 oktober 2018.
5. ↑ Internationella atomenergibyrån. Kriterier för olika manöversystem för kärnkraftverk  //  IAEA TECDOC SERIES. — ISSN 1011–4289 . Arkiverad från originalet den 29 augusti 2018.
6. ↑ Homeland Security, National Cyber ​​​​Security Division. Katalog över kontrollsystemsäkerhet : Rekommendationer för standardutvecklare  . - 2011. - April. Arkiverad från originalet den 20 januari 2017.
7. ↑ Industrial Control Systems Cyber ​​​​Emergency Response Team. Standarder och referenser (länk ej tillgänglig) . Hämtad 5 oktober 2018. Arkiverad från originalet 23 augusti 2018. (obestämd) 
8. ↑ TASS. Spiegel: Den tyska regeringen har för avsikt att etablera en cybersäkerhetsbyrå . Hämtad 5 oktober 2018. Arkiverad från originalet 6 oktober 2018. (obestämd)
9. ↑ Internationell telekommunikationsunion. Global Cybersecurity Index (GCI) 2017  (engelska) . Arkiverad från originalet den 25 januari 2019.
10. ↑ Industriella kommunikationsnätverk. Säkerhet av nätverk och system. . Hämtad 5 oktober 2018. Arkiverad från originalet 6 oktober 2018. (obestämd)