Kontrolsystemers sikkerhed

Sikkerheden ved kontrolsystemer  er at forhindre tilsigtet eller utilsigtet interferens med den korrekte drift af industrielle automatiserede kontrolsystemer (ACS). Disse systemer håndterer i dag alle større aktiviteter, herunder atomkraft og anden elektrisk kraft , olieproduktion og -transport, vandforsyning, transport, kommunikation og forskellige andre industrier og processer. Kontrolsystemer omfatter computere, netværk, operativsystemer, applikationer og programmerbare og ikke-programmerbare controllere . Næsten hvert eneste af disse elementer kan indeholde sikkerhedssårbarheder . Opdagelsen i 2010 af Stuxnet-malwaren demonstrerede ICS's sårbarhed over for cyberhændelser. Siden da er forskellige regeringer begyndt at vedtage regler for cybersikkerhed, der kræver øget beskyttelse af kontrolsystemer, der er ansvarlige for kritisk infrastruktur.

Kontrolsystemers sikkerhed omfatter sikkerhed for industrikontrolsystemer (ICS), sikkerhed for tilsynskontrol og dataindsamling (SCADA), proceskontrolsikkerhed, industriel netværkssikkerhed og cybersikkerhedskontrolsystemer .

Risici

Et brud på sikkerheden i et industrielt kontrolsystem kan føre til katastrofale konsekvenser i form af tab af menneskeliv, negativ påvirkning af miljøet, skade på produktionskæden, beskadigelse af udstyr, tyveri af fortrolig information og skade på en virksomheds image. .

I de senere år har der været en række fejl i driften af ​​kontrolsystemer, som har haft mere eller mindre alvorlige konsekvenser og skyldes både sammenfald af omstændigheder og ondsindede handlinger. Her er nogle af dem:

• Rulende strømafbrydelser i flere regioner i USA og Canada i 2003. Årsagen til ulykken anses for at være sammenfaldet af en række ugunstige faktorer, herunder overbelastning af netværket og computerfejl.
• En ulykke i 2005 ved elektrisk transformerstation nr. 510 " Chagino ", som et resultat af hvilken en række distrikter i Moskva, Moskva-regionen og tilstødende regioner blev berøvet elektricitet. Årsagen til ulykken anses for at være sammenfaldet af en række ugunstige faktorer: værdiforringelse af udstyr, varme, uprofessionalitet hos medarbejderne.
• Angreb af den industrielle malware Stuxnet , som i 2010 ramte iranske industrivirksomheder tilknyttet landets atomprogram [1] .
• Katastrofe i 2011 ved Fukushima atomkraftværket. Årsagen var en almindelig årsagsfejl i udstyret efter jordskælvet og tsunamien.
• Afbrydelse af strømforsyningen i slutningen af ​​2015 i en række regioner i Ukraine ( Ivano-Frankivsk , Chernivtsi og Kiev regioner). Årsagen til ulykken var virkningen af ​​Industroyer-malwaren, som ifølge repræsentanter for ukrainske virksomheder og efterretningstjenester blev introduceret af russiske hackere [2] . Strømafbrydelsen gentog sig i slutningen af ​​2017. Ukrenergo gav igen russiske ubudne gæster skylden for dette [3] .

Sårbarhed af kontrolsystemer

Industrielle automations- og kontrolsystemer er blevet meget mere sårbare på grund af tendenser, der er blevet observeret i de sidste 15-20 år. Hovedårsagerne til dette er:

• Øget anvendelse af kommercielle standardprogrammer (COTS) og protokoller. Integrationen af ​​teknologier som MS Windows, SQL og Ethernet betyder, at ICS nu ofte er sårbar over for malware, der også påvirker offentlige netværk.
• Virksomhedsintegration (ved brug af fabriks-, virksomheds- og endda offentlige netværk) betyder, at ældre proceskontrolsystemer i dag ofte er udsat for påvirkninger, der ikke blev taget i betragtning, da de blev designet.
• Funktionel redundans af ACS-udstyr. Den udbredte brug af komplekse programmerbare controllere og processorer til at styre standard og simple teknologiske processer med et forudbestemt spektrum af parametre, hvor brugen af ​​umodificerbare, såkaldte " hard logic " løsninger kan være tilstrækkelige, gør dem sårbare over for fejl eller for omprogrammering og kontrol af ubudne gæster.
• Stigende efterspørgsel efter fjernadgang. 24/7 adgang for ingeniør-, drifts- eller tekniske tjenester betyder sammen med bekvemmelighed en øget risiko for usikre eller ondsindede forbindelser til kontrolsystemer.
• Tilgængelighed af information. Retningslinjer for brug af kontrolsystemer er tilgængelige for både legitime brugere og angribere.

Imødegå trusler

En stigning i antallet og hurtige ændringer i typerne af trusler mod automatiserede virksomhedskontrolsystemer fandt sted i begyndelsen af ​​det 21. århundrede. I betragtning af, at den udbredte introduktion af automatiserede proceskontrolsystemer fandt sted flere årtier tidligere, hvor niveauet af sådanne trusler var størrelsesordener lavere, er det vigtigt at analysere de systemer, der blev oprettet dengang, under hensyntagen til det nuværende trusselsniveau [4] .

• Detaljeret revision af virksomheders netværkssikkerhed og deres proceskontrolsystemer. Der bør lægges særlig vægt på arkitekturen af ​​de systemer, der blev bygget for flere årtier siden, da fareniveauet var på et meget lavere niveau. Audit af risikoen for ACS-fejl på grund af en fælles årsag.
• Afvisning af redundante systemer med omprogrammerbar logik. Når antallet af styringsopgaver, der skal udføres, først er kendt, er det hensigtsmæssigt at skifte til systemer isoleret fra eksterne netværk med forudbestemt rigid logik, hvor indgreb udefra praktisk talt er umuligt.
• Introduktionen af ​​de såkaldte " diverse beskyttelsessystemer " (diverse aktiveringssystem), når det eksisterende automatiserede kontrolsystem er suppleret med et andet, bygget på anden software eller hardware og løser de vigtigste sikkerhedsproblemer. Lignende systemer er allerede i brug på nogle atomkraftværker og anbefales til endnu større brug af IAEA [5] , da de reducerer risikoen for almindelig årsagsfejl, ikke kun på grund af en programmeringsfejl eller ondsindet hackerangreb, men også fænomener som f.eks. som overophedning på grund af svigt klimaanlæg, brand, oversvømmelse under brandslukning osv. Lignende beskyttelsessystemer er blevet implementeret, for eksempel af Fizpribor-anlægget i Moskva ved kernekraftværket Novovoronezh og er i øjeblikket ved at blive implementeret af det franske selskab Orano på Britisk atomkraftværk ved Hinkley Point . Dette princip gælder dog ikke kun for den nukleare industri, men også for alle kontrolsystemer for farlige teknologiske processer.

Indsats fra nationale regeringer

Det er almindeligt accepteret, at et af de første lande, der udtrykte bekymring, ikke kun om cybersikkerhed, men om sikkerheden af ​​kontrolsystemer, var USA. Især den amerikanske regerings Computer Emergency Response Team (CERT) har etableret Control Systems Security Program (CSSP) [6] , som giver et stort sæt gratis nationale standarder og teknologier [7] (NIST) relateret til kontrolsystemsikkerhed.

De europæiske lande viser også mere og mere bekymring over disse spørgsmål. Så f.eks. i Tyskland håndteres informationssikkerheden af ​​Forbundskontoret for Informationssikkerhed (Das Bundesamt für Sicherheit in der Informationstechnik), og spørgsmål om kritisk vigtige objekter i den nationale IT-infrastruktur og økonomi, herunder sikkerheden af ​​kontrolsystemer National Center for Cybersikkerhed . Derudover skabes der på initiativ af Forsvarsministeriet og Tysklands udenrigsministerium en ny struktur - Agenturet for Innovation og Cybersikkerhed (Agentur für Innovation in der Cybersicherheit) [8] .

Rusland kom ifølge cybersikkerhedsindekset for 2017 [9] , som er udgivet af International Telecommunication Union (ITU), ind i gruppen af ​​førende lande og ligger på en tiendeplads – foran Japan og Norge og efter Frankrig og Canada. Federal Service for Technical and Export Control (FSTEC of Russia), som er ansvarlig over for forsvarsministeriet, beskæftiger sig med sikkerheden af ​​industrielle systemer på statsniveau. I Rusland har den nationale standard GOST R IEC 62443-3-3-2016 "Systemsikkerhedskrav og sikkerhedsniveauer" siden april 2017 indført efter ordre fra Federal Agency for Technical Regulation and Metrology dateret 1. juni 2016 N 469-st. været i kraft [10] . Denne standard er harmoniseret med internationale sikkerhedsstandarder for proceskontrolsystemer.

Internationale sikkerhedsstandarder for proceskontrolsystemer

ISA/IEC-62443 er udviklet af International Automation Association og er et sæt protokoller, tekniske rapporter og relateret information, der definerer procedurer for implementering af elektronisk sikre industrielle automatiserings- og kontrolsystemer. Denne standard gælder for slutbrugere, systemintegratorer, sikkerhedsprofessionelle og kontrolsystemproducenter, der er ansvarlige for fremstilling, design, implementering eller drift af industrielle automations- og kontrolsystemer.

Denne standard blev oprindeligt kaldt ANSI/ISA-99 eller ISA99, efter International Automation Association (ISA), der skabte den. I 2010 blev standarden omdøbt til ANSI / ISA-62443 på grund af harmoniseringen af ​​ISA- og ANSI-dokumenter med de relevante International Electrotechnical Commission (IEC) -standarder.

Noter

1. ↑ Stuxnet-angreb på Iran . Hentet 5. oktober 2018. Arkiveret fra originalen 11. september 2018. (ubestemt)
2. ↑ Inde i det snedige, hidtil usete hack af Ukraines elnet . Hentet 5. oktober 2018. Arkiveret fra originalen 5. oktober 2018. (ubestemt)
3. ↑ Ukraines strømafbrydelse var et cyberangreb: Ukrenergo . Hentet 5. oktober 2018. Arkiveret fra originalen 5. oktober 2018. (ubestemt)
4. ↑ Shults V. L., Kulba V. V., Shelkov A. B. Revision af informationssikkerhed af automatiserede kontrolsystemer  // Trends and Management: Journal. - 2014. - Nr. 4 . — S. 319–334 . Arkiveret fra originalen den 5. oktober 2018.
5. ↑ Det Internationale Atomenergiagentur. Kriterier for forskellige aktiveringssystemer til atomkraftværker  //  IAEA TECDOC SERIES. — ISSN 1011–4289 . Arkiveret fra originalen den 29. august 2018.
6. ↑ Homeland Security, National Cyber ​​​​Security Division. Katalog over kontrolsystemers sikkerhed : anbefalinger til standardudviklere  . - 2011. - April. Arkiveret fra originalen den 20. januar 2017.
7. ↑ Industrial Control Systems Cyber ​​​​Emergency Response Team. Standarder og referencer (link ikke tilgængeligt) . Hentet 5. oktober 2018. Arkiveret fra originalen 23. august 2018. (ubestemt) 
8. ↑ TASS. Spiegel: Den tyske regering har til hensigt at etablere et cybersikkerhedsagentur . Hentet 5. oktober 2018. Arkiveret fra originalen 6. oktober 2018. (ubestemt)
9. ↑ International Telecommunication Union. Global Cybersecurity Index (GCI) 2017  (engelsk) . Arkiveret fra originalen den 25. januar 2019.
10. ↑ Industrielle kommunikationsnetværk. Sikkerhed af netværk og systemer. . Hentet 5. oktober 2018. Arkiveret fra originalen 6. oktober 2018. (ubestemt)