Решение проблем информационной безопасности в нефтегазовой отрасли

Удовлетворяя две трети спроса на энергопотребление Соединенных Штатов, нефтегазовая отрасль имеет в своей основе огромную и в высшей степени децентрализованную инфраструктуру, состоящую приблизительно из 150 нефтеперерабатывающих заводов, 321 868 км нефтепроводов и 3 218 688 км газопроводов. Длинная производственная цепочка начинается разведкой и бурением скважин и заканчивается доставкой топлива потребителям.

Системы диспетчерского управления и сбора данных (Supervisory Control and Data Acquisition, SCADA) и распределенные системы управления (Distributed Control Systems, DCS) являются принципиальной основой функционирования предприятий нефтегазовой отрасли по всему миру. Управление данной инфраструктурой является крайне сложной задачей, требующей мониторинга большого количества отдельных единиц оборудования. Для обеспечения надлежащего режима работы нефтеперерабатывающих заводов и распределения нефтепродуктов по трубопроводам необходимо поддерживать точное соотношение скорости потока, температуры, давления и других параметров.

В процессе работы по усилению мер безопасности в целях обеспечения бесперебойных поставок такого важного сырья, как углеводороды, нефтегазовые компании сталкиваются с рядом сложных задач, в числе которых необходимость объединения прежде автономных систем SCADA и DCS с другими системами и сетями предприятия, противоречащие друг другу организационные приоритеты, а также отсутствие каких-либо утвержденных предписаний по соблюдению стандартов в области информационной безопасности.

Два фактора послужили причиной резкого повышения приоритетного уровня проблем безопасности систем управления для компаний нефтегазовой отрасли: 1) Системы SCADA и DCS, используемые на нефтеперерабатывающих заводах, являются уязвимыми к компьютерным атакам и 2) взрывоопасный характер нефтепродуктов делает инфраструктуру данной отрасли привлекательной мишенью.

В данной статье внимание акцентируется на эффективных методах, которые могут быть приняты на вооружение компаниями нефтегазового сектора в целях повышения безопасности систем SCADA и DCS. Рекомендации систематизированы в соответствии с четырехэтапным процессом организации информационной безопасности, включающим оценку угрозы, разработку политики безопасности и обеспечение ее соблюдения, реализацию средств защиты и мониторинг/управление безопасностью, и призваны содействовать организациям в повышении уровня безопасности и защиты жизненно важной части государственной инфраструктуры, сохраняя при этом надежность и производительность систем SCADA и DCS.

Помимо вредоносных атак, совершаемых как внешними злоумышленниками, так и инсайдерами, а также уязвимостей, вызванных просчетами на уровне архитектуры систем, источниками угрозы для безопасности могут стать недостаточно обученные работники, партнеры и подрядчики. Одними из самых распространенных внутренних причин возникновения уязвимостей являются неадекватная защита на основе пароля, несвоевременное обновление защитных программ, невыполнение проверки файлов на наличие вируса, не связанный с работой веб-серфинг в рабочее время и скачивание файлов.

Все эти уязвимости подвергают предприятия нефтегазовой отрасли риску компьютерных атак, потери принадлежащей им информации и попадания такой информации в чужие руки. Для того чтобы на практике соответствовать стандартам, выработанным Североамериканским советом по надежности энергосистем (NERC), и Правилам по защите критически важной инфраструктуры (CIP), гарантируя при этом бесперебойную эксплуатацию, компаниям следует комплексно подойти к решению проблем информационной безопасности, не допуская:

• Причинения ущерба окружающей среде
• Нарушения норм и правил
• Перебоев в эксплуатации
• Повреждения дорогостоящего оборудования
• Финансовых убытков
• Потенциальной гибели людей

Неотложность принятия таких мер усугубляется растущей информированностью посторонних об уязвимостях систем SCADA и DCS и привлекательности нефтяных и газовых трубопроводов и нефтеперерабатывающих заводов в качестве мишеней для атак. Кроме того, все больше осознается тот факт, что системы управления, используемые на нефтегазовых предприятиях и при эксплуатации трубопроводов, являются уязвимыми для компьютерных атак, исходящих из многочисленных источников, и компании прилагают усилия по решению проблем информационной безопасности на самых разных уровнях.

Нефтяными и газовыми компаниями внедряются многочисленные методы повышения эффективности, некоторые из которых, по недосмотру, увеличивают уязвимость систем управления. Несмотря на то, что современные системы SCADA и DCS оснащены гораздо большим количеством средств защиты, инсталлированные на местах комплексы все еще остаются ненадежными, что делает их незащищенными от угроз и уязвимостей.

Так например, системы SCADA и DCS предприятий нефтегазовой отрасли все более интегрируются с имеющимися информационными системами и реализуются на базе общих операционных систем, обеспечивая руководителей информацией, необходимой для принятия решений в режиме реального времени, таких как установление цен на товары.

Подобным же образом, во многих из этих систем управления применяется протокол Modbus, обеспечивающий поддержку взаимодействия электронных устройств измерения параметров потока (electronic flow measurement, EFM) и удаленных терминалов (remote terminal units, RTU), разбросанных вдоль трасс трубопроводов в тысячах километров друг от друга.

Наряду с предоставлением управленцам доступа к критически важным данным, постоянная сетевая связь также ведет к широкой общедоступности информации о таких системах управления и их уязвимостях.

Как правило, межкомпьютерные соединения возможно осуществить через интернет, что делает системы SCADA и DCS уязвимыми для таких угроз, как автоматически распространяющиеся черви. Взаимосвязанность машин позволяет хакерам получать доступ к системам, посредством которых они могут отключать сигнализацию, запускать или останавливать оборудование, изменять ключевые параметры настройки и многое другое.

Часто случается, что установившаяся практика, рассчитанная на повышение эффективности производства, по недосмотру может также привести к уязвимости систем.

Основными преимуществами централизованного управления и удаленного доступа являются автоматизация задач и возможность управления всей системой в реальном масштабе времени. Так например, предприятия нефтегазового сектора предоставляют удаленный доступ инженерам и подрядчикам компаний посредством модемов коммутируемых линий и других средств с тем, чтобы специалисты, находящиеся за пределами объекта, могли диагностировать и устранять неисправности в работе систем SCADA и DCS. Равным образом работники, прибывшие на объект с других участков, представители подрядных организаций и иные лица, имеющие право пребывания на объекте, время от времени нуждаются в доступе к корпоративной сети со своих портативных компьютеров.

Удаленный доступ к круглосуточно функционирующим системам создает дополнительные возможности для возникновения уязвимостей. Взаимосвязь с корпоративной сетью открывает новые точки доступа к системам SCADA и DCS, через которые в сеть и системы могут проникать вирусы или вредоносный код. В то же время требование непрерывности работы систем SCADA и DCS усложняет процесс реализации и тестирования средств безопасности, так как системы управления нельзя переводить в автономный режим работы.

Помимо всего прочего, инфраструктура нефтегазовых объектов является, как правило, территориально рассредоточенной, что еще более усложняет усилия по организации ее защиты. Даже имея хорошо организованные системы обнаружения вторжения, администраторы систем безопасности способны распознать только отдельные атаки, а не организованные схемы атак, распределенные по времени.

Конкурирующие стандарты и нормативы, предназначенные для нефтегазовой отрасли, только усугубляют путаницу. Фактически, на сегодняшний день от нефтегазовых компаний не требуется соблюдения каких-либо стандартов информационной безопасности. Пренебрегая существующей национальной политикой, поощряющей создание устойчивых инфраструктур, способных выдерживать атаки, нефтегазовые компании могут счесть следование такой политике экономически неэффективным.

И тем не менее, нефтегазовые компании могут повысить свой уровень безопасности и защитить критически важные объекты энергоснабжения, применяя четырехэтапный процесс организации информационной безопасности, включая оценку угрозы, разработку политики безопасности и обеспечение ее соблюдения, реализацию средств защиты и мониторинг/управление системами безопасности. В противном случае, при попытках организаций решить проблемы информационной безопасности с использованием непроверенных и несостоятельных мер обеспечения защиты можно ожидать еще более серьезного ущерба.

• Оценка: На начальном этапе оценки уровня безопасности компаниям необходимо собрать сведения как о внутренней, так и о внешней среде, в которой работает организация. Сюда относится оценка осведомленности компании об электронных угрозах до того, как они проявят себя в реальности, выявление возможных проблем, связанных с необходимостью соблюдения нормативных требований, оценка эффективности средств защиты и администрирования, а также практическое обоснование причин обеспокоенности состоянием безопасности с использованием методики испытания на проникновение.
• Разработка политики безопасности и обеспечение ее соблюдения: На данном этапе компании должны определиться, кто и к какой информации имеет право доступа, а также какие имеются должностные обязанности и на кого они возложены. Для обеспечения действенности политики организациям следует постоянно оценивать степень соответствия выработанной стратегии и процедурам и рекомендовать пути повышения соответствия в случае выявления отклонений.
• Реализация средств защиты: В последнее время характер активности злоумышленников постоянно меняется и отличается появлением комбинированных угроз, использующих различные типы вредоносного кода, такие как вирусы, черви и троянские программы. Организации должны принимать меры по обеспечению безопасности, оперативно устраняя уязвимости, наряду с организацией защиты устройств, приложений и сетей до того, как угрозы проявят себя; помимо этого, необходимо обеспечить постоянное обновление информации, ее соответствие требованиям и возможность восстановления. Данный этап также включает реализацию процедур восстановления и средств, предназначенных для использования в том случае, если в результате атаки некоторые из средств защиты станут недоступными.
• Мониторинг/управление системами безопасности: Применение «чисто технических» решений без пристального контроля и управления фактически подрывает эффективность средств защиты. Хотя принятие в штат опытных специалистов в области информационных технологий для управления устройствами сетевой безопасности может значительно снизить риск, для многих компаний такой вариант является дорогостоящим. Ввиду круглосуточного характера функционирования инфраструктуры в нефтегазовой отрасли организациям следует осуществлять мониторинг и управление системами безопасности, включая круглосуточный мониторинг и управление информационными ресурсами, выполняемые в режиме реального времени в целях предотвращения нарушений нормального хода работы и снижения времени простоя.

Эффективно организованный процесс информационной безопасности требует периодического выполнения оценки уязвимостей систем SCADA и DCS. Ключевым моментом оценки уровня защиты является испытание на проникновение, проведение которого усложняется непрерывным режимом работы управляющих сетей нефтегазовых объектов. В то же время, круглосуточный характер функционирования таких сетей фактически исключает возможность привлечения обычных компаний-оценщиков информационной безопасности, не обладающих соответствующим опытом проведения испытаний на проникновение в среде SCADA и DCS.

Такая оценка уровня безопасности и степени риска осложняется тем, что в составе инфраструктуры в целом и в рамках нефтеперерабатывающих заводов в частности реализованы самые разные системы. Взаимосвязанность систем SCADA, DCS, корпоративных сетей и удаленных специалистов наряду с возрастающей частотой и серьезностью кибератак обусловливает необходимость усиления и обязательного соблюдения мер безопасности на объектах критически важной инфраструктуры – несмотря на отсутствие правил информационной безопасности, предписанных конкретно для данной отрасли.

По мере внедрения новых операционных систем, приложений и аппаратуры, обнаружения новых уязвимостей и атак, а также введения новых отраслевых стандартов и правил даже те компании, которые уделяют достаточное внимание информационной безопасности, сталкиваются с постоянно меняющимися требованиями к защите. К счастью, компаниям предлагается все большее число технологий и услуг, способных обеспечить защиту не только их собственных сетей SCADA и DCS, но также и других связанных с ними сетей. Решения безопасности, доказавшие свою эффективность в нефтегазовой отрасли, помогут смягчить обеспокоенность по поводу угроз безопасности, позволяя компаниям сосредоточить внимание на стратегических инициативах, предоставляющих им конкурентное преимущество на рынке.

Автор: Гэри Севонтс (Gary Sevounts), старший директор отдела электроэнергетических стратегий и решений Symantec Corporation