Последствия импортозамещения: как безопасно модернизировать промышленные системы

Последствия импортозамещения: как безопасно модернизировать промышленные системы

Импортозамещение имеет не только положительные стороны. Проблема состоит как в том, что иностранные продукты порой нечем заменить, так и в том, что возникает потребность в модернизации производственных предприятий. Велика вероятность, что в спешке никто не вспомнит о безопасности.

 

 

 

 

 

1. Введение

2. Дежурный зоопарка

3. Каждый в своей клетке

4. Выводы

 

 

Введение

Импортозамещение стимулировало развитие российской промышленности, особенно аграрно-промышленного сектора. Активно создаются отечественные производственные мощности, которые призваны возместить недостаток иностранных товаров, связанный как с зарубежными и российскими санкциями, так и с колебаниями курса рубля. При этом такие промышленные площадки создаются в спешке: либо с помощью покупки дешевых иностранных систем на вторичном рынке, либо путем модернизации старых производственных предприятий. Примечательной особенностью является образование вертикально интегрированных холдингов, в которые объединяются самые разнообразные типы промышленных предприятий. Автоматизация подобных холдинговых структур в результате оказывается настолько неоднородной, что к ней вполне можно применить термин «зоопарк информационных систем».

 

Дежурный зоопарка

До недавнего времени потребности в едином стандарте для протоколов взаимодействия оборудования и информационных систем не было. Каждый производитель строил свою АСУ ТП из известных ему компонент, на собственном программном обеспечении и практически не использовал «чужое» оборудование. Взаимодействие осуществлялось уже на более высоких уровнях — системах планирования деятельности предприятий (ERP), организации производства (MES) и аналогичных им по функционалу. Вмешательство в конфигурацию АСУ ТП наказывалось санкциями, самой простой из которых является лишение гарантии на оборудование. При этом часто в информационных системах были заложены своеобразные логические «бомбы», которые срабатывали при каких-то условиях (например, при выпуске определенного количества продукции или просто по времени). После этого системы выдавали самую неопределенную ошибку, скажем: «Сервер не отвечает — обратитесь в службу поддержки». Естественно, что такие «странные» ошибки вызывали у предприятий страх оказаться без поддержки и остановить производство.

Понятно, что разработчикам АСУ ТП было не выгодно поддерживать стандарты на всех уровнях, поскольку это позволяло клиентам «сбежать» к конкуренту или, как минимум, отказаться от поддержки на оборудование. В унаследованных системах проблема неожиданных ошибок по-прежнему существует, и решить ее, несмотря на все новомодные средства защиты, может только производитель. Привязка оборудования к информационным системам усложняет создание централизованного контроля и управления на уровне холдинговых структур и вообще тормозит развитие и модернизацию производства. Кроме того, экономически это не выгодно, так как предприятиям приходится иметь своих специалистов, свою дежурную смену и службу поддержки для каждой системы вместо того, чтобы создать единую службу по всему холдингу.

Ситуация начинает постепенно меняться, поскольку появилась концепция «Производства 4.0», которая предполагает введение единых стандартов на всех уровнях, а также взаимозаменяемость оборудования и распределенное производство — создавать продукт нужно максимально близко к потребителю. Естественно, что при «зоопарке» оборудования, контролеров и управляющих систем реализовать концепцию «Производства 4.0» не удастся. Поэтому сейчас активно идет разработка различных стандартов так называемого промышленного интернета вещей (Industrial Internet of Thing — IIoT). Эти стандарты уже предполагают использование определенного стека технологий для управления промышленным оборудованием, который позволяет разрабатывать производственные системы из компонент различных производителей и стыковать их между собой с помощью стандартных информационных систем.

К сожалению, пока такие решения еще находятся в стадии формирования, и поэтому вертикально интегрированным компаниям приходится сталкиваться с самыми неожиданными проблемами. Здесь можно говорить о двух источниках проблем: унаследованные российские разработки и купленные «за дешево» иностранные производственные линии. В первом случае часто возникает ситуация, когда производителя решений уже не существует и поддержку оказывают отдельные специалисты, которые фактически являются монополистами и могут диктовать свои условия. По понятным причинам они всеми силами сопротивляются модернизации, поскольку вместе с ней они потеряют контроль над предприятием и свои не всегда оправданные доходы. При этом не совсем понятно, что произойдет с предприятием, если с этим «эксклюзивным» специалистом что-то случится.

Во втором случае, когда производственная линия куплена дешево на вторичном рынке, ситуация тоже бывает плачевной. Технологии могут оказаться «не первой свежести»: скажем, они могут быть построены на базе ОС Windows XP Embedded, которая хоть и поддерживается, но очень ограниченно. При этом специалистов, обеспечивающих обновление и модернизацию систем, также может оказаться крайне мало, и они также будут стараться заключать контракты на поддержку на максимально выгодных для себя условиях.

 

Каждый в своей клетке

Таким образом, у холдинговой распределенной структуры возникает серьезная проблема как в отношении контроля функционирования промышленных систем, так и в отношении их сопровождения. Логично, что в этой ситуации крупные структуры могут создать единую централизованную службу сопровождения, которая позволит контролировать все производственные процессы. В случае создания подобной комплексной системы мониторинга производственных линий предприятию требуется держать в штате меньше специалистов, осуществляющих круглосуточное дежурство.

При этом контроль должен распространяться не только на оборудование производственных систем АСУ ТП, но и на ИТ-сервера, коммуникационное оборудование и рабочие места, а также на системы информационной безопасности, которые также должны контролировать процессы, происходящие в промышленных сетях. Последний класс решений сейчас только начинает появляться, тем не менее первые внедрения средств обнаружения вторжений и антивирусных решений для промышленных систем уже есть. Комплексный мониторинг должен включать все три указанных компонента, чтобы можно было оценить не только работоспособность АСУ ТП, но защищенность ИТ-сети от внешних атак. Современная ситуация такова, что без обеспечения защищенности этой сети нельзя гарантировать непрерывное функционирование производственных линий. Негативным примером может служить вирус Stuxnet, атаковавший центрифуги по обогащению урана компании Siemеns.

В целом же для надежного функционирования промышленной сети и подключенного к ней оборудования необходимо обеспечить следующее:

  • идентифицировать все подключенные к ней объекты и блокировать посторонние;
  • обеспечить безопасный транспорт как команд, так и данных мониторинга;
  • проверить функционал каждого элемента сети на наличие в нем недекларированных возможностей;
  • создать надежное и защищенное хранилище данных диагностики работы систем;
  • контролировать все действия персонала и аутсорсеров, которые получают доступ к промышленному сегменту.

При этом простое выполнение последнего требования может сильно сократить вероятность внешних атак. То есть промышленные предприятия должны как минимум обеспечить централизованный контроль внешних специалистов, которые что-либо делают в корпоративной сети. Этого в большинстве случаев оказывается достаточно и для выявления логических «бомб», заложенных производителем, и для оценки компетенции нанятого персонала, и для выявления посторонних попыток повлиять на производственное оборудование.

Централизованное управление, как правило, строится примерно на одних протоколах удаленного управления: для Windows-решений – RDP, для вариантов UNIX – ssh или X Window, что и позволяет собрать все ресурсы под единый контроль. Подробнее об организации удаленного доступа к АСУ ТП можно почитать в статье «Удаленный доступ, администраторы и АСУ ТП» или обзоре СКДПУ. Достаточно отслеживать небольшой набор протоколов, чтобы контролировать действия своего персонала или внешних аутсорсеров. Правда, для этого придется создать единую сеть для всех предприятий холдинга и организовать взаимодействие через нее. Рекомендуется также отделить каждую промышленную сеть от общей с помощью отдельных демилитаризованных зон (DMZ) с очень ограниченным набором сервисов внутри. Важно запретить использовать внутри сети для дистанционного управления наиболее популярные протоколы веба и электронной почты. Доступ к этой единой сети стоит организовать через единый шлюз, функциональные возможности которого также лучше всего ограничить поддержкой только используемых протоколов удаленного управления. При этом важно обеспечить аутентификацию всех пользователей внутри единой сети, обеспечить сквозной шифрованный канал для управления, мониторить состояние всех компонент с помощью специальных инструментов (любую подозрительную активность считать нарушением и инцидентом), а также фиксировать и сохранять в защитном хранилище все действия персонала и состояние всех контролируемых систем.

Таким образом, складывается следующая система обеспечения контроля для «зоопарка» промышленных систем:

  • Мониторинг состояния. Для каждой системы стоит разработать и установить собственный инструмент мониторинга состояния, который позволял бы оценить как работоспособность самого процесса, так и попытки влияния на него извне. Причем такую систему стоит отделить от технологической сети диодом данных и поручить контроль службе безопасности.
  • DMZ. Для каждой АСУ ТП стоит сделать собственную DMZ, чтобы сотрудники, обслуживающие одну установку, не могли без разрешения подключиться к другой. Разделение должно выполняться с помощью межсетевых экранов и дополнительного сервера, на котором установлены прокси-сервисы для дистанционного управления. Здесь же можно расположить системы контроля привилегированных пользователей, мы рассматривали их в статье «Контроль привилегированных пользователей (PUM) — обзор мирового и российского рынка».
  • Сеть дистанционного управления. Собственно, можно организовать централизованное дистанционное управление с помощью технологии KVM, но такое решение возможно для небольших холдингов. В общем случае лучше создать отдельную сеть, которая объединяла бы все DMZ для АСУ ТП. В этой сети можно полностью ограничить использование таких протоколов как HTTP, SMTP, FTP, даже telnet и аналогичных. При этом даже защищенные протоколы типа HTTPS, ssh и других стоит расположить на непривычных портах, чтобы запутать «взломщика». Все коммуникации нужно выполнять по шифрованным каналам со строгой аутентификацией и записью всех действий. С помощью специальных анализаторов необходимо контролировать и блокировать появление несанкционированных протоколов. Собственно, эта сеть должна функционировать по принципу «запрещено все, что явно не разрешено».
  • Шлюзы. Такая сеть дистанционного управления может соединяться с корпоративной сетью предприятия и даже с интернетом также через собственные DMZ, сервисы внутри которых выполняют аутентификацию и после открывают шифрованные туннели только к разрешенным АСУ ТП, чтобы у внешнего администратора не было возможности подключиться к посторонней АСУ ТП. На этих шлюзах также стоит установить средства контроля привилегированных пользователей и средства обнаружения вторжений.

Построение подобной системы как раз и позволит обеспечить централизованный контроль действий как собственных администраторов, так и внешних аутсорсеров даже в крупных холдингах, где используются самые разнообразные АСУ ТП. Однако практически все они используют протоколы интернета для дистанционного управления, что как раз и позволяет привести все системы к общему знаменателю. Следует отметить, что подобная система при правильном построении может быть использована в том числе и для организации сервисов промышленного интернета вещей — предоставления вне диагностической информации из АСУ ТП. Сервисы этого типа предназначены для производителей, партнеров и клиентов, чтобы те могли оценить состояние АСУ ТП и вероятность выполнения заказа. Например, нефтеперерабатывающий завод может отдавать производителю оборудования сведения о «пробеге» отдельных элементов для планирования их замены, а клиентам — информацию о количестве произведенного бензина и других продуктов перегонки. Эти данные можно получить из диагностики АСУ ТП и через однонаправленное соединение передавать на доступный извне сервис, расположенный в DMZ.

 

Выводы

Холдинговым структурам можно порекомендовать провести модернизацию и перевести все системы на единый или хотя бы ограниченный тремя поставщиками набор компонент — сейчас для этого есть все предпосылки. Однако если это сложно сделать по экономическим причинам, то стоит хотя бы организовать систему централизованного контроля за дистанционным обслуживанием как ИТ, так и АСУ ТП. Причем вполне возможен постепенный переход к подобной системе, поскольку современное и уже установленное коммуникационное оборудование представляет необходимый набор функций по организации DMZ и блокировке запрещенных протоколов. Также уже появляются средства независимого контроля, которые можно будет установить дополнительно — это будет дешевле, чем переводить весь холдинг на общие стандарты АСУ ТП. 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru