Rambler's Top100
 
Статьи
Джефф ШАТТ  08 октября 2018

Закладываем фундамент для защиты критичной инфраструктуры

Стандарты для защиты систем промышленной автоматики и контроля выступили в фазу зрелости.

Время производителям сертифицировать свои технологии на соответствие стандартам, а заказчикам требовать от них соответствующие технические решения.

Все мы знаем, что критичные инфраструктуры уязвимы для кибератак. Эти риски широко обсуждаются добрых десять лет и хорошо известны как общественности, так и специалистам по кибербезопасности и управлению рисками. На фоне нарастающей волны глобальной цифровизации Индустрия 4.0 (Industry 4.0) и промышленный Интернет вещей (Industrial Internet of Things, IIoT) требуют все больше сетевых подключений, открывая при этом все больше возможностей для проведения масштабируемых атак через Интернет. Сейчас как никогда важно, чтобы в базовых структурных блоках систем промышленной автоматики и контроля (Industrial and Automation Control Systems, IACS) изначально предусматривались средства противостояния интернет-угрозам.

К счастью, наступает решающий момент. Стандарты IACS вступили в фазу зрелости, и для борьбы с интернет-угрозами, укрепления кибер-устойчивости и защиты критичных инфраструктур можно приобрести готовые решения безопасности. Теперь время лидерам отрасли сертифицировать свои технологии на соответствие стандартам, а заказчикам-производственникам потребовать от поставщиков технологий встраивать доверенные технологии во все новые продукты и решения, особенно в те, которые предназначены для IIoT и Индустрии 4.0.

Расскажу о двух событиях, которые убедили меня в том, что час Х настал.

Во-первых, большинство документов, подготовленных группой разработки стандартов ISA99, либо уже опубликованы, ибо вскоре будут опубликованы как часть международного стандарта серии ISA/IEC 62443. На недавнем заседании комитета по стандартам ISA99 число участников было вдвое больше, чем несколько лет назад; теперь комитет изучает необходимость пересмотра и дополнения своих ранних стандартов в сфере кибербезопасности и IACS. Что это значит? То, что этот зрелый стандарт принят в качестве де-факто стандарта безопасности для систем управления, и что его применение в отрасли постоянно расширяется. Как это касается вас? Такие отраслевые стандарты, как ISA/IEC 62443, играют важную роль в установлении эталонного уровня, которому должны соответствовать все заинтересованные игроки, от поставщиков продуктов и интеграторов до владельцев ресурсов, системных операторов и поставщиков услуг техобслуживания.

Во-вторых, доверенные технологии (Trustworthy Technologies), помогающие обезопасить базовые компоненты электронных устройств, можно приобрести в качестве готовых коммерческих решений. Они повышают отказоустойчивость устройств и противодействуют изощренным целевым кибератакам, направленным против критичных инфраструктур. Они позволяют реализовать безопасные на уровне разработки архитектуры базовых структурных блоков для всех электронных объектов в составе IACS, будь то компьютеры, IoT-устройства или встроенные операционные системы реального времени.

Для нашей проблемы,  как, впрочем, и для большинства других, нет простых ответов. Не существует такого решения, которое как по волшебству могло бы устранить все недостатки и укрепить слабые места, присущие IACS и критичной инфраструктуре. Именно поэтому абсолютно необходимы регулярные обсуждения данной темы на уровне отрасли. Решить проблему можно только при наличии направленных усилий, должной осмотрительности и значительных долгосрочных инвестиций (имею в виду не только деньги, но и время) и при условии совместного движения всех заинтересованных игроков к общей цели.

Прямо сейчас перед отраслью стоит множество задач. У всех у нас есть своя роль, включая конечных заказчиков. Что же должны делать заказчики:
  1. Требовать встраивания доверенных технологий во все электронные устройства в составе систем IACS, с тем чтобы обеспечить соответствие требованиям по безопасности технических средств стандарта ISA/IEC 62443-4-2.
  2. Обязать встраивать средства безопасности во все IIoT-компоненты, развертываемые в рабочей среде, например путем изготовления всех продуктов в соответствии с Циклом безопасной разработки (Secure Development Lifecycle), который определен в стандарте ISA/IEC 62443-4-1.
  3. Проектировать IIoT-решения в соответствии с порогами приемлемых рисков в соответствии с процессом, определенным в ISA/IEC 62443-3-2.
  4. Проанализировать и модернизировать сети всех эксплуатационных систем с целью с одной стороны плотно совместить архитектуры сети и систем безопасности, с другой — упростить эксплуатационные процессы с точки зрения мониторинга сети, обнаружения  и реакции на угрозы.
Джефф Шатт, архитектор систем IoT-безопасности Cisco
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!