В начале января 2018 г., когда западный мир приходил в себя после рождественских каникул, а российские ИT-специалисты вместе со всем прочим населением увлеченно доедали новогодний оливье, произошло событие, которое с учетом его масштаба, быть может, наконец заставит разработчиков программных и аппаратных средств обращать внимание на проблемы информационной безопасности до, а не после очередного скандала.
Была обнародована информация о выявленных группой ProjectZero (подразделение Google) критических, платформонезависимых уязвимостях в процессорах Intel, AMD и, возможно, других. Уязвимость Meltdown позволяет нарушителю получать доступ к памяти ядра процессора, в том числе к парольной информации, ключам шифрования и другой критичной информации, а Spectr − доступ к памяти приложений. Обе уязвимости эксплуатируют технологии, использованные разработчиком для ускорения работы процессора. В обоих случаях разработчики в очередной раз предпочли функциональность безопасности, проигнорировав хорошо известные стандарты по защите информации об изоляции процессов и очистке областей памяти, использовавшихся критичными процессами. Такое положение дел вполне объяснимо, поскольку разработчика мотивирует в основном массовый сегмент рынка, для которого проблемы информационной безопасности не являются первоочередными. Проблема в том, что проектировщики автоматизированных информационных и управляющих систем в защищенном исполнении вынужденно, а зачастую и по недомыслию используют информационные технологии массового применения, разработанные без учета требований по информационной безопасности.
Замечу, что в последние годы отношение к вопросам информационной безопасности хотя и очень медленно, но начало изменяться. Информационные технологии проникают в самые различные сферы жизни. Все чаще персональные данные применяются в критичных для пользователя онлайн-транзакциях, расширяется функционал, используемый в банковском деле. Но, пожалуй, наибольшие угрозы таит в себе широкое применение информационных технологий в системах управления технологическими процессами, включая транспортную и энергетическую инфраструктуру. Начиная с уже ставшего хрестоматийным примера вирусной атаки на предприятие ядерно-энергетического комплекса Ирана в 2010 г., по экономическим последствиям сопоставимой с бомбардировкой израильских ВВС в 1981 г., как раз накануне пуска АЭС, когда была полностью разрушена вся инфраструктура предприятия, практически ежемесячно появляются все новые публикации о выявленных критических уязвимостях в системах управления автомобилями, самолетами, технологическими процессами (остановка сталеплавильных печей в Германии, блэкаут в Калифорнии, остановка производства компании «Мазда» и др.). Использование в системах управления технологическими процессами информационных технологий общего назначения без учета требований по безопасности информации приводит к возможности атаковать через «умную кофеварку» атомную электростанцию. В России проблема усугубляется массовым применением импортного промышленного оборудования, производитель которого для обеспечения технической поддержки и выполнения гарантийных обязательств требует удаленного доступа через Интернет.
Осознание масштаба угроз привело к появлению ряда международных стандартов по информационной безопасности в АСУ ТП. Летом 2017 г. в России был принят Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который обязывает владельца объекта критической информационной инфраструктуры решать проблемы информационной безопасности в соответствии с категорией объекта. Надо отметить, что уполномоченный федеральный орган – ФСТЭК России − еще в 2014 г. выпустил приказ «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», позволяющий наиболее ответственным владельцам таких объектов приступить к практической реализации адекватной системы защиты информации. В настоящее время подготовлены (готовятся) проекты нормативных правовых документов, определяющих в основном организационную сторону вопроса, что позволит после их принятия приступить к полномасштабной реализации положений № 187-ФЗ.
В дальнейшем изложении мы не будем комментировать упомянутые документы, а остановимся только на тех вопросах, которые влияют на реальную безопасность объектов критической инфраструктуры, но практически не охвачены нормативно-методической базой. Для систем управления технологическими процессами, как, впрочем, и многих других систем реального времени перечень актуальных угроз, реализуемых средствами информационных технологий, не ограничивается классической триадой – конфиденциальность, целостность, доступность. В данном сегменте глобального информационного пространства проблемы информационной и промышленной безопасности тесно переплетаются и неотделимы друг от друга. При этом нарушитель путем воздействия на используемые в системе управления информационные технологии пытается создать предпосылки наступления негативных технологических последствий, а порой и техногенной катастрофы. Атакующие воздействия могут затрагивать первичную информацию, собираемую с различных датчиков контрольных устройств, алгоритмов обработки этой информации, критериев принятия управляющих решений и команды управления исполнительными устройствами.
Причем выполнение требований нормативных документов по информационной безопасности и наличие аттестата соответствия не гарантируют физической безопасности объекта критической инфраструктуры, так как эти требования не затрагивают, да и не должны, вопросов корректности реализации функционального ПО. Действительно, в цепочке поставщик промышленного оборудования – технолог – разработчик управляющего ПО – интегратор проектировщик АСУ ТП всегда возможно неполное взаимопонимание, например в силу недостаточной компетенции в смежных областях, приводящее к критическим ошибкам в системе управления. Причем правовое и нормативно-методическое обеспечение проблем функциональной безопасности как способности корректно и эффективно выполнять поставленные функциональные задачи, в том числе в условиях возможного противодействия потенциального нарушителя, носит разрозненный, лоскутный характер. По мнению автора, ведущая роль в разрешении этих проблем должна принадлежать технологам как специалистам, понимающим логику технологического процесса, возможные угрозы физической безопасности, допустимые пределы изменяемых и входных параметров и т. п. Профильными министерствами должны быть разработаны отраслевые стандарты по функциональной безопасности для типовых технологических процессов на транспорте, в топливно-энергетическом комплексе, на потенциально опасных промышленных предприятиях. Необходимы методики верификации программного обеспечения и выявления в нем потенциально опасных с точки зрения выхода технологического процесса на критический режим конструкций. Должны быть разработаны и закреплены в нормативных документах приемы и методики безопасного программирования. С учетом большого количества связей и параметров сложного технологического процесса при разработке таких методик целесообразно использовать имеющиеся наработки в области искусственного интеллекта и глубокого самообучения.
Рассмотрим теперь проблемы, связанные с некоторыми трудно реализуемыми для современных информационных технологий традиционными требованиями по защите информации. Построение системы защиты на классических принципах взаимодействия поименованных субъектов и объектов доступа в замкнутой доверенной программно-аппаратной среде для современных автоматизированных систем вызывает значительные трудности. Так, зачастую формат входных данных, получаемых извне, содержит исполняемый код, что нарушает принцип целостности и замкнутости программной среды. Территориальная распределенность больших автоматизированных систем и многообразие условий эксплуатации отдельных сегментов размывают само понятие периметра безопасности и существенно затрудняют разработку приемлемых организационно-технических мер защиты. Для АСУ ТП как систем реального времени ситуация усугубляется невозможностью использования некоторых средств защиты из-за временных ограничений. С учетом того, что для таких систем актуальность защиты командных данных носит временный характер и может исчисляться миллисекундами, целесообразно, с одной стороны, предусмотреть в нормативных документах возможность разработки средств временной защиты, с другой − при разработке модели угроз исключать из рассмотрения даже известные атаки, требующие для их реализации срока, значительно превышающего время актуальности защиты. Дополнительные сложности вносит упомянутое требование удаленного доступа поставщиков промышленного оборудования. Все это заставляет задуматься о пересмотре парадигмы защиты информации и постепенном переносе центра тяжести от существующего ограничительно-запретительного подхода к новому, основанному на мониторинге действий пользователей, состава и состояния программно-технических средств. Причем с учетом специфики АСУ ТП средства мониторинга должны выявлять не только события, потенциально опасные для системы защиты информации, но и критические отклонения самого технологического процесса. При этом средства мониторинга, исходя из того, что критерии потенциально опасных событий трудно формализуемы, должны разрабатываться с использованием возможностей технологий искусственного интеллекта. Последнее предложение особенно актуально в свете того, что хакеры уже используют достижения в сфере разработки искусственного интеллекта для реализации эффективных атак. Зафиксированы случаи выставления на продажу современных инструментов проникновения, разработанных на основе технологии машинного обучения. По прогнозам специалистов компании Fortinet, в ближайшие годы киберпреступники начнут сочетать элементы ИИ с методами атак, ориентированными на поиск, выявление и использование уязвимостей сред поставщиков облачных услуг по всем направлениям. По результатам анализа некоторых атак делается вывод, что на смену ботнетам придут интеллектуальные скопления пораженных устройств − «роевые» сети, применяющие технологию самообучения. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными, а их количество будет расти по экспоненте. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз.
В заключение отметим, что решение проблем информационной безопасности современных информационных технологий не терпит отлагательства и требует комплексного подхода, охватывающего правовое, научно-техническое и технологическое направления. Особое значение эта работа приобретает в свете принятой в 2017 г. программы «Цифровая экономика Российской Федерации», предусматривающей внедрение современных информационных технологий во все сферы жизни.