Защита от вторжений в автоматизированные системы управления энергетическими и промышленными объектами традиционно строится на «трех китах» правил корпоративной ИТ-безопасности: 1) физической изоляции технологической информационно-управляющей сети предприятия от Интернета, 2) использовании межсетевых экранов для контроля трафика, 3) строгого исполнения политик ИТ-безопасности при необходимости временного перехода на частичное ручное оперативное управление.
Если первой и третье правило неукоснительно соблюдаются, то по этим путям хакерам не прорваться, а вот выполнение второго правило, базирующегося на контроле трафика, не дает 100%-ной гарантии защиты от проникновения в сеть ИТ-злоумышленников.
Основной причиной неэффективности этой технологии ИТ-защиты является то, что она основана на сравнении команд во входящем трафике с командами, которые поступают от АСУ ТП предприятия, а эти вредоносные команды «на первый взгляд» алгоритмов сравнения идентичны легальным управляющим командам. И для того чтобы выявить подозрительные команды, свидетельствующие о начале кибератаки, система тратит слишком много времени (минимум — 2,44 мс), что приводит к сбоям в работе АСУ ТП. Если бы время сравнения не превышала теоретически обоснованного предела в 1,44 мс (всего на одну миллисекунду меньше, чем обеспечивается лучшими из существующих на сегодняшний день технологиями!), то не было бы оснований для волнений. Но как дойти до этого теоретического предела?
Решением этой задачи занялись в Японии в рамках проекта «Кибербезопасность для критических инфраструктур», который был недавно выполнен фирмой CSSC (Control System Security Center) по заказу организации NEDO (New Energy and Industrial Technology Development Organization) как часть национальной программы продвижения стратегических инноваций SIP (Strategic Innovation Promotion Program), утвержденной японским правительством. И хотя желаемый рубеж не был достигнут, некоторые результаты этого проекта стали своеобразными ступеньками к снижению времени выявления начала кибератаки.
Эти результаты были изучены и использованы программистами компании Mitsubishi Electric, разработавшими технологию мониторинга входящего трафика, для которой достаточно 0,04 мс (!), чтобы обнаружить признаки начал кибератаки на АСУ ТП. К частным решениям CSSC они добавили использование трех правил анализа, ориентированных на три состояния АСУ ТП, в которых она может находится: 1) рабочее состояние, 2) нерабочее состояние, 3) состояние обслуживания. По наблюдениям программистов Mitsubishi Electric, в каждом из этих состояний характер команд АСУ ТП, присутствующих в трафике, различен. Благодаря этому наблюдению стало возможным значительно уменьшить количество шаблонов сравнения, необходимых для каждого определенного состояния, что и стало ключом к резкому уменьшению времени сравнения потенциально вредоносных команд во входящем трафике с шаблонами команд АСУ ТП.
В настоящее время на технологию Mitsubishi Electric поданы патентные заявки, а ее продажа на мировом рынке систем ИТ-защиты инфраструктуры генерации и распределения электроэнергии начнется в следующем году.
См. также:
- Как устроен первый сотовый телефон, который работает без аккумулятора
- Простое и эффективное решение проблемы нестабильности работы каналов корпоративной сети
- Существующие пассивные оптические сети PON могут быть использованы в технологиях 5G