© 1995-2021 Компания «Инфосистемы Джет»
Состояние и особенности АСУ ТП и кибербезопасности в РЖД
Информационная безопасность

Руководитель Центра кибербезопасности рассказал о том, как обеспечивается информационная безопасность в ОАО «РЖД»

14.12.2016

Посетителей: 140

Просмотров: 117

Время просмотра: 2.7 мин.

На вопросы Jet Info любезно согласился ответить Борис Александрович Макаров, руководитель Центра кибербезопасности ОАО «НИИАС» (дочерней компании холдинга ОАО «РЖД»).

 

 

– Добрый день! Борис Александрович, расскажите, пожалуйста, как Вы относитесь к АСУ ТП?

Лично я к АСУ ТП отношусь положительно – жизнь заставляет нас заниматься этой темой. Альтернатив у нас немного: либо 30 млн хорошо оплачиваемых рабочих, либо полная автоматизация, в то время как вопрос нехватки квалифицированных кадров стоит достаточно остро. Внедрение АСУ ТП данную проблему серьезно нивелирует – требования к кадрам становятся менее жесткими. 

В свое время я посетил ряд английских заводов, где практически все автоматизировано. Зоны ответственности персонала сведены к минимуму: если ручной труд можно заменить, этой возможностью на предприятии обязательно воспользуются. Весь технологический процесс происходит без участия высококвалифицированных кадров. На железной дороге сегодня прослеживаются аналогичные тенденции.

 

Возьмем в качестве примера систему автоторможения: в зависимости от состояния пути, веса поезда, его скорости движения система автоматически, с оптимальными параметрами будет рассчитывать скорость торможения так, чтобы пассажиры и грузы не падали, а вагоны не смещались. Или другой пример – система автоведения. Суть ее в том, что поезд автоматически едет согласно заложенной программе. Когда эту систему внедряли в ОАО «РЖД», со стороны персонала сначала было сопротивление – зачем нам это надо? Однако когда машинисты оценили удобство использования данной системы, маятник качнулся в другую сторону. Сотрудники стали требовать установки автоматической системы, так как это существенно упрощало их труд.

 

Автоматизация стала частью нашей жизни.

– Расскажите, пожалуйста, есть ли отраслевая специфика, связанная с защитой АСУ ТП, именно на железной дороге?

На железной дороге используется более 100 АСУ и АСУП. На сегодняшний день внедрено примерно 67 типов микропроцессорных систем: например, горочная автоматика, которая формирует и расформировывает составы, системы электрификации управляют подачей электроэнергии на контактную сеть и т.д. В эксплуатации находятся более 40 000 микропроцессорных систем. Локально-корпоративная сеть, используемая ОАО «РЖД», включает более 250 000 программно-аппаратных портов для подключения различных систем. Для этого используются и сетевые каналы, и эфирные радиоканалы, и волоконная оптика. Конечно, необходимо отдавать себе отчет в том, что, когда есть такое количество портов, возможности для кибератак колоссальные, в том числе и с использованием коммуникационного сетевого оборудования.

 

На железной дороге часто возникают ситуации, когда сложно разделить зоны ответственности. Например, мы исследовали системы управления подстанциями электропитания. Специалисты нашего Центра провели успешную кибератаку, предоставили отчет, но два департамента ОАО «РЖД» никак не могли договориться между собой, в чьей зоне ответственности находится система, через которую было совершено проникновение. Энергетики утверждали, что кибератаку провели на их систему, но через локальную сеть, поэтому ответственность на себя должны взять связисты. Связисты, разумеется, возражали, ведь энергетики ранее не выдвигали никаких требований по защите канала. А если канал открыт, его легко можно «взломать». В итоге энергетикам пришлось признать, что обеспечение безопасности собственной инфраструктуры – это их забота, и они построили криптотуннель для защиты информации в данном канале.

 

И хотя требования к обеспечению безопасности на железной дороге очень высокие, существует определенная специфика – протяженность дорог в России составляет, по разным оценкам, от 80 000 до 100 000 км, и мгновенно переформатировать всю систему с учетом современных требований к киберзащите экономически невозможно. Именно поэтому в настоящее время на железной дороге наряду с самым современным оборудованием эксплуатируются системы, внедренные еще перед Второй мировой войной, и все это связано в единую технологическую цепь.

– Скажите, пожалуйста, насколько проблематика мировых угроз АСУ ТП актуальна для ОАО «РЖД»?

Конечно, те вопросы, которые беспокоят сегодня весь мир, беспокоят и нас. К сожалению, при массовом внедрении АСУ ТП было допущено несколько стратегических ошибок. Например, для экономии начали использовать существующие уже на тот момент каналы связи общего пользования, поэтому эта часть осталась незащищенной. И сейчас очень остро стоит вопрос по защите каналов связи, например, шифрованием или заменой на волоконно-оптическую связь, в которую гораздо тяжелее проникнуть, хотя и тут уже есть прецеденты. Складывается ситуация постоянного противоречия между потребностью в защите и стоимостью данной защиты. Когда специалисты начинают считать, они понимают, что таких денег нет ни у кого не только в России, но и в мире.

– Как Вы считаете, оказывают ли госрегуляторы влияние на отрасль? Если оказывают, как Вы можете его охарактеризовать?

Влияние госрегуляторов, безусловно, существует. На одном из совещаний во ФСТЭК сообщили, что в базах данных этой федеральной службы содержится больше 1 млн уязвимостей, выявленных в операционных системах и программно-аппаратных комплексах. Представитель ФСТЭК заявил, что регулятор будет требовать от представителей отрасли проверки своих систем на наличие всех выявленных уязвимостей. Конечно, все понимают, сколько может стоить такая проверка. С другой стороны, мы сталкиваемся с тем, что относительно «свежие» угрозы закрываются производителями достаточно быстро, а уязвимости, появившиеся 10 лет назад, до сих пор актуальны. В такие моменты давление регуляторов на производителя должно сыграть положительную роль. Если такое давление не оказывать, может сложиться следующая ситуация: приходишь на предприятие и спрашиваешь: «Кто у вас главный по контролю выявленных уязвимостей?», а в ответ слышишь: «Тот, кто эксплуатирует». Но ведь тот, кто эксплуатирует, может быть недостаточно квалифицирован для исполнения этой задачи. Кроме того, не все специалисты заинтересованы в дополнительной работе и лишней ответственности.

 

Если говорить о негативном влиянии, в прошлом госрегуляторы не всегда принимали компетентные решения. В последние годы ситуация стала заметно выравниваться. Насколько мне известно, сейчас формируются общие требования к обеспечению кибербезопасности, а конкретная их проработка отдается на откуп отрасли. Я считаю такой подход правильным, ведь зачастую у госрегуляторов нет специалистов, глубоко знающих отраслевую специфику, тех же железнодорожников, химиков, атомщиков.

 

Я считаю, что необходимо обращаться и к мировому опыту в части обеспечения безопасности АСУ ТП. Например, в Германии сейчас приняли положение о кибербезопасности, в котором прописан двухлетний переходный период, в течение которого все уязвимости должны быть устранены. В России тоже все движется в этом направлении: госрегулятор принимает постановление, дает срок на его исполнение, а потом приходит с проверкой, и если ее результаты будут неудовлетворительными, принимает меры, вплоть до отзыва лицензии или остановки производства.

– Разделяете ли Вы понятия кибербезопасности и информационной безопасности?

На мой взгляд, цели и задачи кибербезопасности и информационной безопасности разные. Я всегда утверждал, что это не конкурирующие, а взаимодополняющие друг друга дисциплины. Безусловно, кибербезопасность имеет свою специфику. В информационной безопасности акцент делают на целостность, доступность, конфиденциальность передаваемой информации, а в кибербезопасности речь идет о синтезе управления. Принцип управления, реализованный в ИБ, не предусматривает обратную связь. Реализуется фискально-надзорный принцип по отклонению, когда параметры сравниваются по одному и тому же уровню. С точки зрения защищенности информации принцип по отклонению работать будет, но любое отступление от норм будет вызывать тревогу.

 

А когда вы связаны с управлением, необходимо использовать принципы обратной связи: логический контроль, структурные методы защиты, прогнозирование и ретроспективный контроль. Это совершенно иной подход.

 

На мой взгляд, цель кибербезопасности – синтезировать безопасное управление объектом при несанкционированном, негативном воздействии, когда перед злоумышленниками стоит задача тайно проникнуть в систему и внести изменения. Когда специалисты нашего Центра проверяли разные системы на кибербезопасность, они получали несанкционированный доступ, меняли, например, кусок операционной системы, проводили кибератаку, а потом возвращали систему в исходный вид так, чтобы не оставлять следов. И это отличительное свойство кибератак – безликость сильно усложняет работу офицера по безопасности, которому необходимо понять, что это было – естественный сбой оборудования, ошибка оператора, воздействие природной среды или успешно проведенная кибератака.

– Расскажите, пожалуйста, как направление по борьбе и киберугрозами появилось в ОАО «РЖД»? Кто был инициатором?

Наш Центр был создан как головное подразделение, занимающееся кибербезопасностью в ОАО «РЖД». Пока у нас небольшой штат – всего 13 сотрудников, но уже сформировался костяк экспертов, отлично справляющихся с поставленными задачами. Недавно мы проверяли на наличие уязвимостей системы, применяемые на железнодорожном транспорте, двух крупнейших мировых производителей – Siemens и Bombardier. В результате тестирования обеих систем были найдены уязвимости. Когда мы обратились в Siemens с результатами нашей проверки, разработчик сначала не воспринял нас всерьез. Но после изучения нашего отчета, где были описаны 47 найденных уязвимостей, представители Siemens прислали нам благодарственное письмо.

 

А вот с Bombardier мы закрывали выявленные уязвимости совместными усилиями. Например, в рамках проведенных испытаний нам удалось перевести стрелку под составом удаленно. Потенциально это одна из самых опасных ситуаций, способная привести к очень серьезной аварии. После того как мы познакомили партнеров из Bombardier с результатами нашей проверки, они сами предложили нам разработать решение для устранения найденной уязвимости, что мы и сделали. Сейчас это решение тиражируется для других крупных клиентов компании в Западной Европе и Индии.

– Скажите, пожалуйста, есть ли какие-то ограничения в части кибербезопасности, которые вас сдерживают?

Нам остро не хватает квалифицированных кадров. Когда стояла задача собрать штат, мы приглашали на работу перспективных студентов и аспирантов. Работа у нас действительно интересная, но конкурировать, например, с «Лабораторией Касперского» по уровню зарплат, мы, к сожалению, не можем. С другой стороны, начальство справедливо говорит: «А вы зарабатывайте…». С некоторыми департаментами ОАО «РЖД» работа в этом направлении у нас налаживается, а с некоторыми пока не удается договориться.

 

Еще одним существенным ограничением для нас является то, что для проведения исследования на кибербезопасность требуется оборудование или программное обеспечение и поэтому зачастую нужна добрая воля производителя-поставщика. В этой ситуации наши потенциальные партнеры ведут себя по-разному. Те, кто заинтересован в качественном продукте, охотно соглашаются на партнерство. Другие не хотят, чтобы мы обнаруживали уязвимости, поэтому не предоставляют необходимые материалы, и мы вынуждены получать их с боем. К примеру, мы проверяли некую систему, состоящую из четырех плат. Договор с партнером был заключен на исследование лишь одной платы, которая является частью общей системы. Когда же мы запросили у производителя разрешение на проверку остальных плат, нам отказали. В дальнейшем выяснилось что, единственная плата, которую нам разрешили проверять, была уже сертифицирована в одном из силовых ведомств, и производитель был уверен только в ней.

– Есть ли у Вас пожелания к госрегуляторам?

Я считаю, что наша отрасль значительно отстает в нормативном поле. Например, в атомной отрасли существуют стандарты МЭК, которые уже давно приняты и работают, а в нашей отрасли пока только решают, принимать их или нет.

 

Еще одна проблема – отсутствие единого координирующего органа по кибербезопасности. Есть ФСТЭК, ФСБ, Министерство обороны РФ, Минкомсвязи РФ, и все они одновременно занимаются кибербезопасностью. На мой взгляд, мы должны либо создать свои российские стандарты, либо временно принять международные. Недавно я принимал участие в работе технического комитета № 362 по защите информации, проходившем в Воронеже. Представители комитета сообщили, что к концу 2016 г. должны быть выпущены первые три стандарта по кибербезопасности (переводы западных аналогов). Хотя здесь существует и тонкий момент: иногда качество переводов оставляет желать лучшего. Но я твердо уверен, что стандарты нужны. Да, пока они могут быть плохими, но на сегодняшний день лучше такие, чем никакие. Когда стандарт есть, его можно обсуждать, корректировать, и это дает нам возможность говорить с коллегами по всему миру на одном языке.

– У Вас есть пожелания к отрасли и к профессиональному сообществу?

Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго, поэтому заниматься данным вопросом необходимо основательно. Известно, чем популярнее тема, тем больше голословных заявлений от так называемых «экспертов», утверждающих, что занимаются кибербезопасностью. А копнешь поглубже и выясняется, что за этим ничего не стоит. Многие называют себя специалистами по кибербезопасности, не являясь таковыми. Кибербезопасность – комплексное понятие, куда входит и схемотехника, и программное обеспечение, и структурный анализ. Специалистов, которые владели бы таким системным подходом, действительно очень мало, но тем не менее письма от «квалифицированных специалистов» приходят к нам каждую неделю. На одном из совещаний заместитель директора ФСТЭК РФ Виталий Лютиков сообщил, что количество компаний, занимающихся темой информационной безопасности, за год сократилось на 30%. Я это связываю с тем, что на волне популярности этой темы люди хотели просто заработать денег, а в итоге оказалось, что это совсем непросто, потому что ФСТЭК России серьезно ужесточила требования к компаниям, желающим работать в этом поле.

– Спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Приказ Минэнерго № 1015: как энергокомпаниям и вендорам АСУ ТП работать в новых реалиях

Какие компании должны выполнить требования приказа Минэнерго № 1015? Светлая и темная стороны приказа. Пункты 14, 24 и 30? Наш подход к реализации норм приказа

ИБ АСУ ТП по принципу Парето

Решения для ИБ АСУ ТП: система обнаружения вторжений, контроль привилегированных пользователей, мониторинг событий ИБ

Топ вопросов по ИБ АСУ ТП

Начиная проект по защите АСУ ТП, необходимо ответить на несколько ключевых вопросов, приведенных ниже

Автоматизированные системы управления технологическими процессами. Вопросы безопасности

Системы технологического управления и родственные им системы диспетчерского управления, противоаварийной автоматики и т. д. прочно входят в нашу повседневную жизнь

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

Криптография и защита информации

Какое место должны занимать средства криптографии в рамках защиты информации в цифровой подстанции

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

X неизвестных в защите критической информационной инфраструктуры

Как создать систему безопасности значимых объектов КИИ? Кто и как должен взаимодействовать с объектами КИИ? Что включает в себя план организации СБ для значимых объектов?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня