Аудит автоматизированных систем управления технологическими процессами промышленных предприятий, проведенный специалистами компании «Информзащита», свидетельствует об «удручающей» статистике в области выполнения требований информационной безопасности. Об этом заявил Андрей Тимошенко, начальник отдела консалтинга, во время семинара по вопросам безопасности предприятий топливно-энергетического комплекса, организованного компанией 4 октября.
В процессе обследования использовались 25 наиболее значимых критериев безопасности, соответствие которым, как считают в «Информзащите», должно обезопасить АСУ ТП промышленных компаний. Эти требования сформированы на основе опыта реализации проектов в десятке крупных предприятий топливно-энергетического комплекса.
Обобщение полученных результатов показало, что в АСУ ТП большинства обследованных предприятий отсутствуют процедуры управления инцидентами безопасности и их анализа, а также не разработаны мероприятия, препятствующие повторному возникновению опасных событий.
Нигде не используются также системы обнаружения и предотвращения внешних вторжений и средства выявления сетевых аномалий, которые должны применяться в тех случаях, когда сеть АСУ ТП связана с коммуникационной инфраструктурой всего предприятия. Наряду с этим не проводятся аудит состояния информационной безопасности и анализ защищенности комплексов АСУ ТП.
Информирование персонала о проблемах, к которым может привести несоблюдение правил информационной безопасности, и обучение в этой сфере проводится только в четверти организаций. А такое обучение становится жизненно необходимым в условиях, когда для незаконного проникновения в систему все шире применяются методы социальной инженерии, основанные на особенностях психологии человека. Эти методы используются для доступа к конфиденциальной информации, в том числе к данным, позволяющим осуществлять несанкционированные действия в АСУ ТП. Характерный пример — запрос пароля якобы от имени системного администратора.
В процессе «социального» тестирования информационных систем предприятий, проведенного «Информзащитой» в 2012 году, три четверти попыток привели к возникновению инцидентов в сфере безопасности. Соответствующие показатели, полученные в 2011 и 2010 годах, – 56 и 36%. В течение трех лет, таким образом, ситуация стала вдвое хуже.
К мероприятиям, которые полностью выполняются всеми прошедшими аудит компаниями, относятся управление физическим доступом к комплексам АСУТП и обеспечение безопасности в беспроводных сетях. Кроме того, в 82% организаций осуществляется защита технических средств обработки, хранения и передачи информации.
Беспроводной доступ к комплексам автоматизации и поддерживающим их информационным системам, который может использоваться собственным персоналом и сотрудниками подрядных организаций, требует особо пристального внимания, поскольку чреват обилием уязвимостей. Отсутствие развитых мер защиты и неинформированность всех этих сотрудников может привести к весьма серьезным последствиям.
Среди причин технологического и организационного отставания в сфере информационной безопасности АСУ ТП от корпоративных информационных систем можно выделить специфику проектов промышленной автоматизации. При их реализации долгое время главным образом решались задачи повышения быстродействия, производительности, оптимизации стоимости, тогда как защите от потенциальных угроз не уделялось должного внимания (см. «Промышленная защита», Сети/Network World, № 2, 2011). Кроме того, корпоративные информационные системы и комплексы АСУ ТП традиционно разрабатываются и эксплуатируются разобщенными подразделениями предприятий.
В настоящее время, по данным компании «Информзащита», в крупных отечественных организациях промышленного сектора, в частности в нефтегазовой отрасли, начинается объединение ИТ-служб и подразделений АСУ ТП. Представители компании считают также, что результаты аудита состояния защиты АСУ ТП должны показать руководителям бизнес-подразделений, какую угрозу для непрерывности их бизнес-процессов несет несоблюдение политик безопасности. Кроме того, бизнес проявляет весьма заметный интерес к предотвращению хищений и к внедрению решений, препятствующих искажению учетных данных, поступающих в системы управления деятельностью предприятий. Характерно, что из более чем трех десятков специалистов предприятий ТЭК, принявших участие в работе семинара, около четверти представляли службы АСУ ТП.