Журнал "Директор по безопасности" Август 2020 | Page 9
Особенно часто используемым вектором
атаки, чтобы «поставить на колени»
функции, службу и сеть, является
распределенная атака типа «отказ в обслуживании»
(DDoS-атака). При этом,
например, сервер загружается многочисленными
информационными запросами,
чтобы свести к нулю пропускную
способность, имеющуюся для безопасности
эксплуатации, и тогда он не сможет
больше перерабатывать легитимные
информационные запросы. Прежде
всего, внешне доступные интерфейсы
являются целями DDoS-атак в системе
контроля промышленного оборудования
через интернет. Ожидаемое увеличение
требующих немедленной обработки
процессов и услуг откроет другие объекты
для атаки.
Аутентичность
До сих пор фокус защиты в производстве,
прежде всего, был направлен на
безопасность эксплуатации и целостность.
С внедрением системы контроля
промышленного оборудования через Интернет
повышенное значение приобретает
аутентичность систем и компонентов,
так как с увеличением точек доступа и
компонентов, которые связаны с Интернетом,
также происходит рост потенциальных
целей для атаки. Риск нелегального
доступа особенно увеличивается на
обслуживаемых станциях, открытых для
доступа сетевых структурах и точках
контакта с другими предприятиями (например,
обслуживание, выполнение заказов).
Поэтому аутентичность является
важной отличительной чертой сети, прежде
всего, когда коммуникации выходят
за пределы предприятия.
Поэтому наряду с шифрованием всех
каналов передачи данных четкая, защищенная
от подделки идентичность является
необходимой предпосылкой для
функционирования каждого участника
сети в Интернете вещей (установок, машин,
пользователей или изделий). Защищенная
от подделки идентичность
представляет собой цифровой сертификат,
который наряду с шифром аутентификации
содержит необходимую информацию
для кодирования и дешифровки.
Для сохранения в архиве важной для
безопасности информации требуются
достойные доверия, надежные носители
информации. Протоколы безопасности
и использование интегрированной защиты
должны быть обеспечены необходимыми
данными для входа в систему.
Предпосылками для этого является инфраструктура
идентичности (в зависимости
от комплексности одна или несколько
инстанций) вдоль цепочки сети,
которая гарантирует четкую и последовательную
идентификацию и структуру
идентичности и способствует аутентификации
и распределению прав на основе
идентичности. Такой менеджмент
идентичности гарантируется достойным
доверия центром сертификации, а
цифровой сертификат организует всех
участников сети создания стоимости.
Основы надежности сетей
Принципиальные требования к безопасности
сетевой инфраструктуры также
относятся к промышленному Интернету
вещей. Все участники сети нуждаются в
закодированной передаче данных. Дополнительно
вдоль всей цепочки должны
быть отдельно защищены все пункты
передачи и терминалы вплоть до
исполнительных механизмов и сенсоров
приборов. В конце концов, в промышленном
Интернете вещей решающим является
самое слабое звено сети на всех
уровнях безопасности. Самая лучшая защита
сети не нужна, если недостаточно
защищено терминальное оборудование –
так произошло в Испании с широко распространенными
«интеллектуальными»
счетчиками, которые два эксперта по
безопасности во время тестирования
взломали и манипулировали таким образом,
что считывали и фальсифицировали
платежные данные, а также парализовали
поставку электроэнергии в
целый район города.
Нельзя обеспечить стопроцентную
безопасность ни для приборов, ни для
обмена информацией. Вновь и вновь запускаются
различные варианты атак на
безопасность сети – система программного
обеспечения, которая делает ставку
на «считывание» узлов сети, или программа,
которая взламывает шифр, и не
в последнюю очередь попытки использовать
человеческие слабости и халатность
(психологическая атака).
Предприятия должны
досконально проверять,
какую опасность
представляют коммерчески
доступные изделия
Взаимодействие модулей,
терминального оборудования
и сетей: пример использования
Какие решения могут привести к производству
с надежной сетевой структурой?
Для этого конфиденциальные производственные
данные необходимо отправлять
между двумя производственными
площадками через полностью защищенные
участки сетей. Например, микросхемы
безопасности фирмы Infenion
Technologies AG (Германия) служат для
доказательства идентичности системных
блоков, сетевого маршрутизатора и
машин и обеспечивают доступ к сети
лицам и устройствам, полномочия которых,
несомненно, проверены.
Таким образом, аппаратные средства
и программное обеспечение для управления
производством вместе со способами
кодирования и аутентификации
так защищены, что только аутентифицированные
машины других производственных
цехов могут отдавать команды
через сеть. Данные поступают закодированными
через защищенное удаленное
беспроводное соединение, а доступ к мобильному
терминальному оборудованию
осуществляется с помощью электронного
ключа защиты аутентичности, включая
микросхему безопасности. Основанная
на аппаратных средствах аутентификация
машин и маршуризаторов является
существенной составляющей безопасности
межсайтового обмена данными.
SIM-карты/меры безопасности
Надежный способ отправки данных
оюорудования через сеть мобильной
связи реализуется через модуль, доступ
к сети которого авторизуется через SIMкарту.
Также SIM-карта играет ведущую
роль в основанной на аппаратных
средствах идентификации и безопасности.
Как в случае жестко установленной,
так и вставляемой карты, любая модификация
приводит к тому, что участнику
больше не требуется авторизация, и
он пользуется доступом к сети.
Наряду с надежной физической безопасностью
SIM-карты обеспечивают
коммуникации в системе контроля промышленного
оборудования через Интернет
с помощью других механизмов
защиты. Вместо статичного пароля для
аутентификации второго терминала
в этой системе контроля появился динамичный
пароль, который постоянно
изменяется и пересылает кодировку с
объемом информации 128 бит. После замены
и подтверждения шифра пароль –
снова измененный – передается, чтобы
не давать шансов считывать трассировку
программного обеспечения.
Особенно эффективную защиту отправки
данных в мобильных системах обеспечивает
IP-VPNT-технология. На основе
известных IP-адресов может быть
создана индивидуальная концепция
авторизации. Использование частных
принадлежащих клиентам IP-адресов
обеспечивает не только лучшую защиту,
но и упрощается благодаря статичному
жесткому их распределению четкая и
быстрая идентификация модулями М2М
в сети предприятия (локальная сеть).
IP-соединения с помощью GPRS/
EDGE (цифровая технология беспроводной
передачи данных для мобильной
связи), UMTS/HSPA (технология сотовой
связи с использованием мобильного
терминала) и LTE (стандарт беспроводной
высокоскоростной передачи данных
для мобильных телефонов и других
терминалов, работающих с данными)
осуществляются без блокировки порта
или трансформации адресов и портов
между модулями М2М и локальной сетью
предприятия. Благодаря этим прозрачным
IP-соединениям обеспечивается
дальнейшая экономия затрат на
программирование и связанных с этим
расходов. Кроме того, без ограничений
используются приложения в рамках
имеющейся пропускной способности и
времени исполнения.
Для надежной передачи М2М-данных
от модуля к серверу все-таки требуется
частные точки доступа и дополнительные
меры по защите от несанкционированного
доступа и злоупотреблений.
Они охватывают в рамках дополнительных
предложений Mobile IP VPN M2M:
безопасность благодаря частному
APN (идентификатору сети пакетной
передачи данных) и закрытой группе
пользователей: только авторизованные
SIM-карты могут обеспечить соединение
в сетевой структуре/интранете
предприятия;
безопасность через VPN-туннель
(соединение двух локальных сетей через
интернет (например, головной офис и
филиал)), зашифрованный с помощью
набора протоколов для обеспечения защиты
данных, передаваемых по межсетевому
протоколу IP, между сотовой связью
и клиентской сетью;
использование частных, собственных
АР-адресов;
дополнительное блокирование доступа
к общественному APN/интернету
с помощью самоадминистрирования;
мониторинг потока сообщений на
портале М2М Service;
администрирование всех соединений
на портале М2М Service.
Рекомендации
Организация безопасности в промышленном
Интернете вещей является комплексной
задачей, для которой не существует
патентованного решения.
Стопроцентная безопасность далека от
действительности, также как желание
реализовать разовую меру для ее обеспечения
и сдать тему в архив. Безопасность
является «движущейся мишенью», а стратегии
и возможности информационных
технологий постоянно совершенствуются.
Даже когда нет способа сразу решить
все внутренние и внешние проблемы,
все-таки выкристаллизовывается ряд эффективных
мер защиты, связанных с кодированием
и идентификацией.
Максимального уровня безопасности
можно добиться комбинацией разных
мер, технологий и изделий. Одновременно
изготовители установок,
приборов, интернет-провайдеры, разработчики
программного обеспечения и
предприятия, оказывающие услуги в
сфере информационных и коммуникационных
технологий, должны делать общее
дело и форсировать внедрение общего
стандарта для обмена данными в
системе контроля промышленного оборудования
через Интернет. В отдельных
случаях рекомендуется принять во внимание
следующее:
на многих предприятиях имеется
отложенный спрос на защиту инфраструктуры
информационных технологий.
До сих пор только четверть из них располагает
собственной стратегией безопасности
информационных технологий,
которые ее регулярно контролируют и
актуализируют. С недавних пор кажется
неизбежным внедрение общекорпоративной
обязательной для исполнения
стратегии безопасности, которая охватывает
защиту информационных технологий
и промышленную безопасность;
основой для внедрения любой стратегии
безопасности является анализ рисков
для собственной инфраструктуры и
корпоративных активов. На основе
установленного фактического и желаемого
состояния в отношении допустимых
рисков возможна реалистичная
оценка внедрения методов, технологий
и изделий отдельных предприятий;
безопасность в системе контроля
промышленного оборудования через
интернет должна быть превентивнопрофилактически
направленной и
следовать интегрированному подходу к
безопасности при разработке изде-лий и
процессов, держа в поле зрения в
равной мере защиту оборудования и
инфраструктуру информационных технологий.
Их безопасность при создании
информационного обеспечения начинается
с первой строки кода и желательно
при снабжении аппаратными средствами
и программным обеспечением приобретать
сертифицированные изделия;
архитектура безопасности должна
принимать во внимание принципы
эшелонированной обороны и быть многослойной.
Формирование сознания
персонала, директивы о физической
безопасности оборудования, секретные
пароли для сетевой структуры предприятия,
безопасность вычислительных
устройств и устройств управления и
обязательные нормативные документы
для идентификации людей и машин
относятся к основам любой стратегии
эшелонированной обороны;
в промышленных сетях внешние
интерфейсы, точки передачи и доступа
увеличивают количество целей для хакеров,
которые в результате атак на безопасность
информационных технологий
создают плацдарм для последующих
атак на безопасность производства в целом
и при этом долгое время остаются
незамеченными. Чтобы препятствовать
этому, необходимо создавать и развивать
возможности для профилактики,
обнаружения и реагирования на предприятии.
ИНТЕРНЕТ ВЕЩЕЙ
(англ. internet of things, IoT) –
концепция вычислительной
сети физических предметов
(«вещей»), оснащенных
встроенными технологиями
для взаимодействия друг с
другом или с внешней средой,
рассматривающая организацию
таких сетей как явление,
способное перестроить
экономические и общественные
процессы, исключающее из
части действий и операций
необходимость участия человека.
Концепция сформулирована
в 1999 году как
осмысление перспектив
широкого применения
средств радиочастотной
идентификации для
взаимодействия физических
предметов между собой
и с внешним окружением.
Наполнение концепции
многообразным технологическим
содержанием и внедрение
практических решений для ее
реализации начиная с 2010-х
годов считается устойчивой
тенденцией в информационных
технологиях.