Информационная безопасность автоматизированных систем – задача важная и достаточно сложная. Компания «Инфосистемы Джет» работает в этой узкоспециализированной сфере более 5 лет. За этот период нашим специалистам удалось выполнить целый ряд проектов по обеспечению информационной безопасности АСУ ТП таких компаний, как Siemens WinCC, Yokogawa, Октопус, Bentley, Emerson и проч.
В каждом случае использовался различный набор технических средств защиты, применялись различные подходы даже в случае совпадения производителей АСУ ТП, поскольку на каждом объекте настройки систем уникальны. Несмотря на то что на разных объектах отличаются подходы к производственным процессам, условия эксплуатации систем, а также нет общих требований по защите, наша компания выработала свой комплексный подход к вопросам обеспечения информационной безопасности.
В частности, благодаря нашим методам удается быстро защитить АСУ ТП на минимально необходимом уровне, чтобы определить направление дальнейшей работы. Процесс обеспечения информационной безопасности включает в себя три блока. Это разработка стратегии безопасности и оптимизация ее процессов, подготовка кадров и внедрение технических решений. Блоки могут использоваться в разной последовательности, а также одновременно.
В блок «Разработка стратегии и оптимизация процессов ИБ» в первую очередь входит изучение бизнес-процессов предприятия и изучение его IT-инфраструктуры. Это необходимо для планирования оптимальных работ для предприятия, поскольку зачастую масштабы работ настолько велики, что их одновременное выполнение невозможно. При разработке стратегии наши специалисты структурируют и планируют необходимые действия, их состав, последовательность, определяют показатели их эффективности. В этот блок также могут входить разработка необходимых документов, выстраивание процессов информационной безопасности.
«Внедрение решений по обеспечению информационной безопасности и соответствующих процессов». Данный блок позволяет определить, с какими средствами защиты информации можно работать в каждом случае.
Так, выбор решений для обеспечения информационной безопасности АСУ ТП – задача достаточно сложная. Важно предварительно протестировать выбранные программы, чтобы они корректно работали с конкретными версиями контроллеров и программами автоматизации.
Конечно, каждый раз начинать работу с самого начала невыгодно. Поэтому мы используем собственные подходы, с помощью которых можно оперативно определить, какой минимальный набор мер необходим, оценить стоимость проекта. Как правило, для устранения основных угроз используется небольшой перечень решений. В первую очередь, осуществляется авторизация и контроль пользовательских действий.
Также ограничиваются возможности по нерегламентированному использованию ресурсов, в частности:
• Баз данных и сетевых устройств.
• Серверов и рабочих станций.
Также в списке первоначальных действий выполнение работ по:
• Обеспечению безопасного удаленного доступа;
• Обеспечению защиты рабочих станций;
• Резервированию;
• Анализу защищенности, управлению ИБ;
• Разграничению прав пользователей внутри;
• Обеспечению защищенного периметра сети АСУ ТП.
Стоит отметить, что перед внедрением выбранных решений по защите АСУ ТП формируется центр управления информационной безопасностью предприятия. Он необходим для сбора информации об эффективности технических решений, автоматического формирования плана по борьбе с угрозами, распределения задач, мониторинга работы над ними.
Блок «Подготовка кадров»
Борьба с киберугрозами – процесс, который требует тренировок. Действия сотрудников предприятия при возникновении подобных угроз нужно отработать аналогично другим чрезвычайным ситуациям: пожару, промышленной безопасности. Подготовку должны проходить все, кто работает с компьютером, контроллерами, интерфейсами типа «человек-машина». При этом для каждой специальности разрабатывается собственная программа тренировки.
Для подготовки большого количества сотрудников, как правило, создаются центры подготовки кадров по противодействию киберугрозам различного формата. В частности, иногда достаточно создать стенды по отработке различных ситуаций.
Как показывает практика, классические способы обучения неэффективны. После прочтения памятки информация забывается. Более эффективно обучение в формате презентации, однако ее не всегда возможно провести.
Наиболее продуктивным способом является обучение в формате интерактивной игры. Поданная таким образом информация усваивается эффективно, работники не могут отлынивать от обучения.
Также эффективны информационные плакаты с напоминанием правил безопасности АСУ ТП. Его нужно повесить на стену, а также периодически рассылать данную информацию на электронную почту сотрудников.
Методы, описанные выше, помогают определить, какие способы нужны для достижения необходимого результата. Конечно, в каждом конкретном случае необходим тщательный анализ работы предприятия. Поскольку ИБ АСУ ТП в большей мере представляет собой правильно выстроенные процессы и квалифицированные кадры.