منذ أكثر من 15 عامًا ، كنت أعمل في شركة صغيرة ولكنها معروفة في الدوائر الضيقة للشركة الروسية من نوفوسيبيرسك "Tornado Modular Systems" ، والتي تطور وتنفذ مجمعات البرامج والأجهزة لأنظمة التحكم في عمليات مرافق الطاقة. على مر السنين ، انخرطت في مجالات مختلفة تمامًا: برمجة أنظمة برمجية عالية المستوى متخصصة لحماية وأتمتة مرحل MP ، وإنشاء ميكانيكا عن بعد وأنظمة التحكم الآلي في العمليات ، والمشاركة في تطوير كمبيوتر صناعي حديث وبيع مشاريع معقدة لعشرات الملايين من الروبل. ربما تكون مجموعة متنوعة من مهام الإنتاج قد حددت مسبقًا ما يثير اهتمامي في هذا الاتجاه الجديد - هو ACS TP.
لكن أول الأشياء أولاً. قد يبدو الآن أن النمو الحالي الذي يشبه الانهيار الجليدي لسوق المعدات والبرامج والخدمات لحل مشكلة أمن المعلومات لنظام التحكم الآلي في العمليات يرجع إلى ظهور تهديدات للتأثير على العمليات التكنولوجية من الخارج ، مما يؤدي أيضًا إلى النمو الطبيعي للإطار التنظيمي لمنظم FSTEC ، إلخ. هذا الرأي صحيح إلى حد كبير ، ومع ذلك ، يبدو لي أن أساس هذه العمليات هو الانتشار غير المنضبط لواجهة Ethernet كمعيار واقعي لتنظيم الشبكات الصناعية لأنظمة التحكم الصناعية. لماذا لا يمكن السيطرة عليها؟ كيف يمكنك قول ذلك؟ في رأيي ، هناك كل الأسباب لذلك. ظهر موضوع IS ACS TP منذ وقت ليس ببعيد ، وقبل ذلك ، قام أي مصمم لـ ACS أو نظام فرعي ، بحركة خفيفة من يده ، بتوصيل شبكات وحدة الطاقة ، وساحة التبديل للمحطة ، ولوحة التحكم الرئيسية والعديد من أنظمة التحكم والإدارة الصغيرة جدًا.تم كل هذا بناءً على أوامر العميل من أجل ضمان قدر أكبر من الملاحظة للمنشأة وتحسين جودة الرقابة والإدارة.
ما هي نتائج هذه النوايا الحسنة؟ لقد فقد المتخصصون في صيانة أنظمة المراقبة والتحكم التكنولوجية فهمهم للعمليات التي تجري في هذه الشبكات المحلية وتأثيرها المحتمل على الحفاظ على قابلية تشغيل العملية التكنولوجية. قد تعتقد أن هذا نتيجة لتدني مؤهلات الموظفين. لكن في كثير من الحالات هذا ليس صحيحا. الحقيقة هي أن حجم المعلومات لتحليلها من قبل الأفراد يؤثر على كفاية تصور حالة كائن التحكم. إن حجم الشبكات الصناعية وعدد الأجهزة النشطة اليوم هو من النوع الذي لا يستطيع حتى المتخصص المؤهل التنبؤ بالعواقب المحتملة لإجراء تغييرات على إعدادات وحدات تحكم ICS أو معدات الشبكة أو تثبيت أجهزة جديدة أو حتى وضع أنظمة التحكم الفرعية في الإصلاح أو أوضاع الضبط الروتيني.ولم أتطرق بعد إلى قضايا المتسللين الخارجيين بمختلف المهام ووسائل الاختراق والتأثير.
وهكذا ، فإن ظهور متخصصين في أمن المعلومات في المنشآت الصناعية عند نقاط التفتيش ، بشكل عام ، تزامن عضويًا مع هذا الضغط المتزايد للشبكات الصناعية ، والذي تحته بدأت بالفعل ظهور الكوادر الباسلة في الانحناء. كان من المفترض أن يأخذ فرسان جدران الحماية والدفاعات المضادة للفيروسات وأنظمة الكشف عن التسلل راية الأمن الصناعي ويضمنون تشغيله بسلاسة في الظروف الحديثة مع اتصالات الإنترنت وقنوات الاتصال عن بُعد و MES و ERP لامتصاص غيغابايت من البيانات من نظام التحكم في العمليات.
أعتقد أنه في كثير من النواحي يتم حل هذه المهمة من قبل المطورين الحديثين لأنظمة أمن المعلومات لأنظمة التحكم في العمليات ، أو سيتم حلها بشكل أساسي في السنوات القادمة. بالطبع ، هناك صعوبات ، فليس كل ICS ينقل بثبات تكامل أدوات أمن المعلومات في بنياتها الحساسة. لكن هذه لحظات عمل. ومع ذلك ، أعتقد أن هناك عددًا من القضايا المفاهيمية التي ينبغي تحليلها من قبل الموردين والمتكاملين لأدوات أمن المعلومات ICS.
من أجل فهم فعالية وسائل ضمان أمن المعلومات لنظام APCS ، من المفيد النظر في تلك الوسائل التي توفر المهام المستهدفة. المهام الرئيسية لنظام APCS حسب الأولوية هي:
1. الحفاظ على العملية التكنولوجية
2. إذا كان من المستحيل إنقاذ المعدات التكنولوجية الأولى وحياة الأفراد
في حالة وقوع حادث تكنولوجي ، هناك خياران لتطوير الوضع. يمكن إيقاف تطوير حالة الطوارئ من خلال الإجراء التلقائي لنظام الحماية الفرعي كجزء من مجمع البرامج والأجهزة في APCS ، أو عن طريق إيقاف العملية التكنولوجية من قبل الأفراد المناوبين باستخدام لوحة التحكم في حالات الطوارئ. في هذه الحالة ، سيتم تنفيذ إيقاف روتيني للعملية التكنولوجية. إذا لم تسمح هذه التدابير ، لسبب ما ، بإيقاف العملية التكنولوجية بشكل روتيني ، فقد تتطور حالة طارئة مع عواقب غير متوقعة. لذلك ، تشتمل جميع أجهزة APCS الحديثة على برامج وأجهزة وأجهزة بسيطة مصممة للإغلاق الآمن التلقائي أو اليدوي للعملية التكنولوجية.
الآن سننظر في المهام المستهدفة لـ IS لـ APCS. لطالما كانت الشركات التي تطور البرمجيات والأجهزة لأنظمة التحكم في أمن المعلومات هي المطورين لنفس الحلول لسوق تكنولوجيا المعلومات. لكن مهام IS IT و IS ICS مختلفة أيديولوجيًا. في جزء تكنولوجيا المعلومات الخاصة بأمن المعلومات ، تتمثل المهمة في الحفاظ على قابلية تشغيل البنية التحتية لتكنولوجيا المعلومات بالكامل للمؤسسة ، بما في ذلك جميع الاتصالات (الاتصال بالإنترنت ، vpn بالفروع ، وما إلى ذلك). يمكننا حتى أن نقول أن أداء هذه الاتصالات هو أحد الأولويات الرئيسية ، حيث أنه منتج مفيد للعديد من المنظمات ، عند قطع الاتصال ، على سبيل المثال ، يميل الاتصال بالإنترنت إلى الصفر. أما بالنسبة لـ IS في APCS ، فقد تمت صياغة المهمة الرئيسية اليوم على النحو التالي:
1. ضمان عمل APCS ، بما في ذلك جميع الاتصالات
يتم لفت الانتباه إلى حقيقة أنه في حالة وقوع حادث لأمن المعلومات ، يمكن أن تكون نتائجه أي شيء ، حتى وقوع حادث تكنولوجي ، ولا يعتمد عمليًا على الأفراد المناوبين في المنشأة. في الوقت الحالي ، لم يتم العثور عمليًا على SOCs للكائنات المزودة بـ APCS ، ويمكن تقييد مظهرها من خلال تقييم كفاءتها المالية وكفاءتها المستهدفة بشكل خاص لـ APCS. وهذا يعني أن النموذج الحالي لتطوير IS ICS يتميز بغياب وسائل التأثير النشط على تطوير حادثة IS ICS بعد لحظة الاختراق الناجح في الشبكة المحلية لـ ICS.
في الواقع ، في منشأة صناعية ، يمكننا تفكيك جميع الشبكات الصناعية إلى قطاعات معزولة بشروط ، والتي تضمن بحد ذاتها تشغيل العملية التكنولوجية. وبالتالي ، في المواقف الحرجة ، أو المواقف التي يزداد فيها مستوى الخطر على أمن المعلومات لمنشأة صناعية ، فإن وصلات هذه الشبكات الفرعية ليست ذات قيمة من وجهة نظر العملية التكنولوجية. وهنا يوجد التنافر الأول - اعتاد المتخصصون في أمن المعلومات على رؤية هدفهم في الحفاظ على قابلية تشغيل البنية التحتية بأكملها للمؤسسة ، بينما في جزء أمن المعلومات ، ICS ، يجب أن يبدأوا في فهم أن ليست كل الاتصالات ذات قيمة. وبالتالي ، في حالات معينة ، يمكن تعطيلها جسديًا لتقليل أو إيقاف انتشار العمليات المدمرة في شبكة APCS.
واسمحوا لي أن أقدم لكم مثالا واحدا. نعلم جميعًا الحادث الذي وقع في Sayano-Shushenskaya HPP. لن أتطرق إلى هذا الكائن نفسه ، فقد تم وصف تطور الحادث جيدًا. كان أحد العوامل التي أدت إلى ذلك هو نقل Sayano-Shushenskaya HPP إلى وضع التحكم في التردد في نظام الطاقة. والسبب في هذا النقل هو اندلاع حريق في غرفة الاتصالات في محطة براتسك للطاقة الكهرومائية ، وهي منظم التردد الرئيسي في نظام الطاقة السيبيري. نتيجة لذلك ، فقد مركز الإرسال الرئيسي لوحدة ODU في سيبيريا الاتصال تمامًا بجميع الأنظمة الآلية لـ Bratsk HPP ، بما في ذلك نظام التحكم في التردد والطاقة الأوتوماتيكي. وهكذا ، انسحب أحد منشآت الطاقة الرئيسية في سيبيريا من عملية التنظيم التلقائي. تم قطع اتصال الأنظمة الآلية.كيف أثر ذلك على عمل محطة براتسك للطاقة الكهرومائية نفسها؟ في الواقع ، لا شيء تقريبًا. بالطبع ، لم تعد المحطة تقوم بالتنظيم التلقائي ، لكن المولدات ظلت قيد التشغيل ، وتم التحكم في المحطة عبر قنوات الاتصال الصوتي من وحدة ODU في سيبيريا ، وعملت أنظمة التشغيل الآلي للمحطة. يوضح هذا المثال أنه حتى فقدان قنوات التحكم والإدارة المهمة قد لا يؤدي إلى إيقاف تشغيل العملية. ماذا يمكننا أن نقول عن الوصلات الإعلامية العديدة ، في الواقع ، لـ APCS - نقل البيانات إلى ERP و MES ، ولوحات التحكم العامة للمرافق ، وقنوات الوصول عن بُعد ، إلخ. وبالتالي ، فيما يتعلق بضمان تدابير IS ICS ، يجب أن يظهر مبدأ جديد - ليست جميع اتصالات LAN الخاصة بـ ICS ذات قيمة ، يجب تحديد هذه الاتصالات عند تطوير مشاريع IS ICS ،يجب أن ينص المشروع على إمكانية فصل هذه الروابط فعليًا.
التنافر الثاني الذي أشعر به يتعلق بالاستجابة لحوادث أمن المعلومات ICS. بصفتي شخصًا مشاركًا في أنظمة التحكم الآلي في العمليات ، فقد اعتدت على حقيقة أنه عند ظهور أي سخط ، فإن نظام التحكم بخوارزمياته يعوض هذا السخط. أي أن هناك رد فعل نشط. وما المقصود بمصطلح "الرد على حادثة أمن المعلومات الخاصة بمركز خدمة المعلومات"؟ في معظم الحالات ، في منشأة صناعية ، ينطوي هذا الإجراء على تحليل لاحق للحادث واعتماد تدابير لضبط الحماية والإعدادات من حيث أمن المعلومات و APCS لمنع مثل هذه الحالة في المستقبل. يمكن أن تكلف إحدى حالات الإغلاق المنتظم وإعادة التشغيل اللاحق لوحدة تكنولوجية كبيرة عشرات الملايين من الروبلات ، ويمكن أن يكلف إغلاق وحدة تكنولوجية مع إتلاف المعدات التكنولوجية مئات الملايين من الروبلات. وماذا في ذلك،تحدث جميع الهجمات والاقتحامات بسرعة بحيث لا يستطيع الموظفون المناوبون (أخصائي أمن المعلومات في المنشأة ، على الأقل الآن ، ليسوا الأفراد المناوبين) القيام بأي شيء؟ في معظم الحالات ، لا. يتيح برنامج IDS الحديث ، جنبًا إلى جنب مع تحليل قيمة اتصالات LAN الخاصة بـ APCS ، تشكيل سيناريوهات فعالة لاستجابة موظفي المنشأة المناوبين للحوادث في الشبكات الصناعية لـ APCS.
يمكن أن يؤدي تعطيل الروابط غير الضرورية إلى إيقاف الهجوم أو منعه من الانتشار إلى شبكات LAN أخرى متصلة بـ ICS. بالطبع ، في هذه المسألة ، من الضروري تشكيل سيناريوهات معينة لتحليل رسائل نظام كشف التسلل وتقييم مدى كفاية إمكانية التحكم في كائن ما في حادث ما ، والتي على أساسها من الضروري صياغة تعليمات لإجراءات العاملين في التشغيل والواجب في ظروف التهديد أو تنفيذ حادث أمن المعلومات. لتنفيذ وظيفة فصل الاتصالات غير الضرورية ، يمكن توفير لوحة تحكم LAN للطوارئ خاصة بـ APCS ، تحتوي على قواطع Ethernet.
والجانب الأخير يتعلق بإدخال أنظمة IDS الحديثة لأنظمة التحكم في العمليات. يبدو لي ، على الأقل في الوقت الحالي ، أن الخطر الرئيسي لنظام التحكم في العملية هو موظفو المنشأة أو المتخصصون المعارون. علاوة على ذلك ، أنا أعتبرهم خطرين حتى لو لم يكن لديهم تثبيت لإتلاف APCS أو أنهم هم أنفسهم لا يعرفون أن محرك الأقراص المحمول لديهم برنامج لاختراق APCS ، والذي يتم تنشيطه تلقائيًا. واقع اليوم هو أن إعادة تكوين أي محطة حماية يمكن أن تزيد من حمل الشبكة بنسبة 10٪ في وضع التشغيل العادي للعملية التقنية. يمكن أن يؤدي هذا إلى فشل LAN في وقت انتقال العملية التكنولوجية إلى أوضاع ما قبل الطوارئ والطوارئ وإمكانية فشل الحماية التكنولوجية وتلف المعدات.يجب أن يدفع هذا الظرف مطوري IDS إلى إنشاء وسائل لعرض المقاييس الرئيسية للشبكات التكنولوجية لأنظمة التحكم في العمليات. مثل: تحميل قطاعات الشبكة المختلفة (متوسط على فترة زمنية ، الحد الأقصى) ، وقت الاستجابة ، عرض تدفق المعلومات بين الشبكات الفرعية المختلفة لتشخيص عدم كفاية تقسيم LAN ، إلخ. يبدو لي أن هذه المعلومات ستكون مطلوبة من قبل موظفي التشغيل وستحافظ على المستوى المطلوب من نظافة العملية تبادل البيانات التكنولوجية في الشبكات الصناعية لأنظمة التحكم الآلي في العمليات.سيكون مطلوبًا من قبل موظفي التشغيل وسيسمح بالحفاظ على المستوى المطلوب من النظافة لعملية تبادل البيانات التكنولوجية في الشبكات الصناعية لنظام التحكم في العملية.سيكون مطلوبًا من قبل موظفي التشغيل وسيسمح بالحفاظ على المستوى المطلوب من النظافة لعملية تبادل البيانات التكنولوجية في الشبكات الصناعية لنظام التحكم في العملية.