Журнал "Системы Безопасности" № 1‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 61 мо выполнять условия соблюдения стандар- тов, которые касаются функциональной и информационной безопасности. Свойство информационной безопасности – обеспечить конфиденциальность и доступ- ность самого информационного процесса, а функциональной безопасности – обеспечить безопасность самого процесса в целом, в том числе при необходимости перевести его в без- опасное состояние. Как рассматривать взаимодействие этих двух типов безопасности? для этого используем модель слоев защит, или модель "швейцарско- го сыра", и на этом примере разберем, как происходит авария на производстве и какова возможная роль атак в этом процессе. Стандарт швейцарского сыра – наличие в нем дырок. Слои защиты, как и ломтики сыра, имеют "дырки". Каждая "дырка" в слое – это отдельная ошибка. Таких "дырок" в системах может быть много на любом уровне, они находятся в разных местах и обладают потен- циальной разрушительностью различной сте- пени. Однако нужно понимать, что следующий уровень/слой, в котором нет проблем на том же месте, может защитить всю систему от мас- штабной катастрофы. Количество слоев может разниться, но в данном примере мы имеем: l встроенную безопасность (в большинстве ситуаций можно достигнуть безопасности с помощью проектирования безопасного по своей сути процесса); l слой распределенной системы управления (РСУ), выполняющий функции контроля и мониторинга; l слой предотвращения (процесс может быть дополнен системами защиты, в данном слу- чае – противоаварийной защиты); l слой ослабления (системы пожаротушения, паровых завес и т.д.); l слой реагирования предприятия на аварию; l слой реагирования населения на аварию (эвакуация). Проблемы начинаются тогда, когда на разных уровнях системы в одной и той же области имеется ошибка, то есть когда "дырка" уходит вглубь через все слои и все они имеют уязви- мости. и тогда в случае кибератаки потенци- альный злоумышленник может воздейство- вать на систему управления, спровоцировав аварийную ситуацию, и, влияя на систему про- тивоаварийной защиты, выводя ее из строя, лишить технологический процесс системы защиты. Инструменты для анализа слоев защит промышленного предприятия говоря о функциональной безопасности, обратимся еще к одному инструменту – диа- грамме LOPA (Layers of Protection Analysis), которая представляет собой "дерево отказов". Рассмотрим ее на примере такого события, как отказ контура регулирования давления (рис. 3). У каждого события есть вероятность его наступ- ления, которая может быть определена стати- стическим или расчетным методом, а у слоев защиты – вероятность успешной отработки этих событий. Ориентируясь на международные рекомендации, будем считать, что вероятность отказа контура регулирования давления – около 20–25% в год, успешные действия опе- ратора на сигнализацию – 10%. далее рассмотрим слои защиты на рис. 3. все, что прописано под красным цветом, – это нор- мальная ситуация без киберинцидента. Соот- ветственно, при возникновении киберинци- дента первостепенная задача злоумышленни- ков – вызвать отказ контура регулирования давления. затем подменить данные, которые приходят на аРМ оператора в виде тех же самых режимных параметров, состояния пус- корегулирующей аппаратуры, возможно, бло- кировать аварийную сигнализацию. То есть сделать все, чтобы оператор не смог среаги- ровать на аварию. Следующая задача – вывести из строя системы противоаварийной защиты, в зависимости от SIL (уровень полноты безопасности в процен- тах – SIL 2 или SIL 3). Если принять, что зло- умышленнику удалось выполнить данную функцию, то дальше он остается один на один с механической защитой – предохранитель- ными клапанами. Надежность механических защит нужно признать тот факт, что предохранитель- ные клапаны и механические защиты неиде- альны. У них нет 100%-ной успешности с точки зрения защиты. Причина аварии – это, как правило, фатальная комбинация ошибок проекта, отказов оборудования, нарушения процедур. все упирается в характеристики используемого оборудования и систем, и у большинства предохранительных клапанов и других видов механических защит есть довольно высокая вероятность несрабатыва- ния – так называемый коэффициент PFD. Он выражает вероятность того, что функция не сработает по запросу, когда это необходимо. Верная стратегия Подытожим факторы, которые могут привести к тому, что киберинцидент станет причиной аварии на производстве: l человеческий фактор; l несовершенство оборудования; l проблемы качества контроля процессов пла- ново-предупредительного обслуживания и ремонтов на предприятии; l недостаточная и некорректная оценка доста- точности механических защит. Таким образом, чтобы корректно оценить риски возникновения аварий на производстве и влияние киберинцидентов на технологиче- ские процессы, необходимо: 1. При оценке рисков/категорировании рассмат- ривать информационную безопасность и функ- циональную безопасность одновременно. 2. Учитывать индивидуальные особенности каждого объекта. нельзя просто ссылаться на наличие механических защит – они недоста- точно надежны. даже если сработают механи- ческие защиты или злоумышленникам не удастся отключить системы противоаварийной защиты, все равно это приведет к серьезным остановкам производства. Следует рассматривать систему в комплекте и учитывать показатели надежности слоев защит. и наконец, помнить, что мы защищаем не сами промышленные системы управления, а технологический процесс, людей и основную деятельность компании – ее бизнес. n www.secuteck.ru февраль – март 2021 СПЕЦПРОЕКТ КибЕРбЕзОПаСнОСТь ЦифРОвОгО ПРЕдПРияТия Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Рис. 2. Модель слоев защит, или модель "швейцарского сыра" Рис. 3. Диаграмма LOPA в случае успешной кибератаки