Криптография в АСУ ТП: необходимость, дань моде или желание заработать

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Криптография в АСУ ТП Дань моде, необходимость или желание заработать? Алексей Лукацкий Бизнес-консультант по безопасности 3 June 2015


Что общего между криптографией в АСУ ТП и змеиным ядом?


О чем мы будем говорить?

•  Нужна ли криптография в АСУ ТП?

•  Если в АСУ ТП нужна криптография, то где?

•  Если криптография нужна в АСУ ТП, то какая?

•  На что стоит обратить внимание при выборе криптографии для АСУ ТП?

Нужна ли криптография в АСУ ТП?


Чем определяется применение криптографии?

Необходимость

•  Критичность информации для бизнеса

•  Критичность информации для управления АСУ ТП

Требование

•  Корпоративный стандарт

• Отраслевые требования

• Приказ регулятора • Федеральное законодательство


Что говорят международные стандарты?

Источник: SCADA System Cyber Security – A Comparison of Standards


А что говорят ФСТЭК и ФСБ?

•  Федеральное законодательство пока не требует обеспечения конфиденциальности данных в АСУ ТП

АСУ ТП от ФСТЭК

•  Конфиденциальность при необходимости, определяемой оператором/заказчиком АСУ ТП

•  СКЗИ (если необходимы) могут быть любыми

КСИИ от ФСТЭК

•  Требования к защите коммуникаций (для КСИИ II типа – для управления КВО)

•  Применение только сертифицированных СКЗИ

КИИ от ФСБ

•  Требований пока не установлено


Где в АСУ ТП нужна криптография?


4 основных элемента АСУ ТП

Система мониторинга и управления

RTU / PLC

Коммуникации

«Полевые» устройства

Консолидированная информация о ТП и управление ТП

Аккумулируют данных от большого количества полевых устройств и получают команды

Различные типы промышленных сетей, а также соединение с внешним миром

Аналоговые и неинтеллектуальные

устройства

***

*

**

**


Типичная архитектура АСУ ТП и место криптографии

SCADA Server / Master / Master Terminal Unit (MTU) Конфиденциальность

не важна. Целостность - возможно

Конфиденциальность и целостность важны

Целостность важна. Конфиденциальность

- возможно

Конфиденциальность и целостность важны


Big Удаленный доступ – криптография обязательна!

1) Использовать стандартный Enterprise уровня удаленный доступ IPSEC с аутентификацией через Radius

2) Ограничить возможность удаленных пользователей соединяться к DMZ только через HTTPS

3) Соединиться с порталом в DMZ https 4)  Установить VPN сессию через SSL и ограничить использование приложений, например только RDP до терминального сервера


Доступность объекта защиты для нарушителя влияет на необходимость применения криптографии


Не любая криптография и не каждому процессу

•  Контролирующие процессы (включен/выключен, открыто/закрыто, высокая/низкая опасность…) Конфиденциальность может быть актуальной, но не с помощью «тяжелого» ГОСТ 28147-89 Возможно применение облегченной (легковесной) криптографии (в России принятые стандарты легковесной криптографии отсутствуют)

•  Управляющие процессы (перекрыть вентиль, включить мотор…) Конфиденциальность вторична Целостность на первом месте

•  Криптостойкость для технологических процессов может быть гораздо ниже, чем для долгосрочного хранения данных в офисной сети или для защиты гостайны


Безопасность и здоровье населения

Отключение клиентов

Длительность отключений

Стабильность электропитания

Удар по генерирующим мощностям

Очень серьезные последствия

Многочисленные смерти и травмы

250,000 > клиентов

Месяцы Основные линии электропередачи

>10,000 Mw put offline

Серьезные последствия

Вероятные смерти или серьезные

травмы

100,000 > клиентов

Недели Ограниченные нарушения между

местами

>1,000 Mw put offline

Слабые последствия

Неопасные для жизни травмы

Тысячи клиентов Дни Временные «островки» >100 Mw put offline

Незначительные последствия

Ни один из вариантов

Сотни клиентов Часы Нет воздействия Допустимое отключение

Категории последствий

Тяжесть

последствий

Оценка ущерба от нарушения защищенности объектов ТЭК

Коммуникации в современных АСУ ТП


Различные среды передачи данных в АСУ ТП

•  Кабель Витая пара Коаксиальный кабель Оптический кабель Сети электропередач

•  Спутник

•  Телефонная линия Выделенная Dial-In

•  Радио в диапазоне VHF в диапазоне UHF микроволное радио (GSM, CDMA, UMTS)

•  Wi-Fi 802.11 802.15.4 (ZigBee)

•  Унификация описания промышленных сетей в виде стандарта IEC 61158 Однако до сиз пор применяется и множество проприетарных видов промышленных сетей В электроэнергетике применяется IEC 61850 (внутри подстанции)


Сравнение методов коммуникаций

Канал передачи Назначение Особенности Беспроводные Узкополосные

Каналы голосовой радиосвязи на базе радиостанций/радиомодемов

Для организации каналов связи по принципу "последней мили". Оптимальны для передачи коротких пакетов данных и/или небольшых объемов информации

Скорость передачи - до 19200 бит/с Дальность - до 40 км (зависит от рельефа местности и высоты подвеса антенн) Возможность передачи с движущихся объектов

Каналы сотовой связи на базе GSM/GPRS-модемов

Скорость передачи - 9600 бит/с (голосовой канал) до 21400 бит/с (GPRS) Дальность - определяется зоной покрытия оператором сотовой связи (зависит от рельефа и высоты подвеса антенн)

•  Данные виды коммуникаций наиболее критичны к применяемой криптографии!



Канал передачи Назначение Особенности Беспроводные Широкополосные

Радиорелейные линии cвязи (РРЛ)

Магистральные каналы связи большой протяженности. Применяются для передачи больших объемов информации на значительные расстояния. Оптимальна для магистральных линий связи линейно-протяженных объектов.

Скорость передачи - до 1 Гбит/с Дальность - до 40 км (без ретрансляции) Работа - «точка-точка»

Каналы спутниковой связи VSAT на базе LinkStar

Для передачи данных с удаленных, временных, труднодоступных объектов

Скорость передачи - до 48 Мбит/с Дальность - зона охвата спутником Требует юстировки антенны (возможна автоматическая)



Канал передачи Назначение Особенности Кабельные

ВОЛС Передача больших объемов информации на значительные расстояния. Возможно решение задач как магистральных каналов связи, так и каналов связи "последней мили"

Скорость передачи - 10 Гбитс (возможно увеличение скорости использование многожильных кабелей); Дальность - до 200 км (без регенерации)

Кабельные (медные) линии связи

Различные типы оборудования и кабелей решают задачи как магистральных каналов связи, так и задачи "последней мили".

Скорость передачи - десятки Мбит/с (возможно увеличение использованием многожильных кабелей) Дальность - десятки км (без регенерации)


Cell/Area Zone Уровни 0-2

Индустриальная зона

Уровень 3

Буферная зона

(DMZ)

Контроль в реальном времени

Конвергенция

Multicast Traffic

Простота использования

Сегментация Мультсервисные сети Безопасность приложений и управления

Контроль доступа

Защита от угроз

Сеть предприятия Уровни 4-5

Gbps Link for Failover Detection

Firewall & IPS

Firewall & IPS

Application Servers Cisco

Catalyst Switch

Network Services

Cisco Catalyst 6500/4500

Cisco Cat. 3750 StackWise Switch Stack

Patch Management Terminal Services Application Mirror

AV Server

Cell/Area #1 (Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

Drive Drive

HMI

Distributed I/O

HMI

Cell/Area #2 (Ring Topology)

Cell/Area #3 (Bus/Star Topology)

Controller

Интеграция в сеть предприятия UC Wireless Application Optimization

Web Apps DNS FTP

Internet

Identity Services Engine

Индустриальная сеть отличается от офисной по свойствам


Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Сетевая архитектура Обычно: отказоустойчивая

архитектура с автоматической перестройкой в случае отказа / время восстановления – около 1 минуты

Требуется восстановление после сбоя в течение 1 секунды

Поведение при высокой нагрузке Качество не гарантируется, но поддерживается лучшим из возможного (best effort)

Требуется снизить нагрузку (шейпинг, балансировка) для гарантий работоспособности устройств

•  Помимо типа среды передачи данных важны еще и требования к самой передачи, отличающиеся от офисных сетей!



Критерий Офисная сеть Индустриальная сеть Коммуникации в реальном времени

Определяются ожиданиями пользователя. Задержка до 1 минуты может быть приемлемой

Требуется действительно реальное время – задержки менее 1 мсек (зависит от устройств)

Жизненный цикл Железо и софт имеют жизненный цикл 3-7 лет (зависит от срока амортизации)

Типичный срок жизни свыше 10 лет

Производительность устройств Устаревшие устройства можно легко заменить

В зависимости от жизненного цикла замена может быть затруднительно

Мощность / производительность Дизайн систем позволяет использовать мощные процессора

Дизайн систем может ограничивать мощность устройства



Критерий Офисная сеть Индустриальная сеть Управление патчами Управление патчами может иметь

больший приоритет, чем работа устройства. Доступна автоматизация обновлений. Перезагрузка (простои) устройств являются приемлемыми

Обновление не должно влиять на работоспособность устройства. Патч должен быть проверен перед установкой. Перезагрузки следует избегать

Доступность и простои Отказ одного или нескольких устройств и простои в течение нескольких часов приемлемы и не вызывает общего простоя

Отказ одного устройства может привести к выходу из строя всей производственной линии или процесса. Простои приемлемы обычно до 5 минут



Критерий Офисная сеть Индустриальная сеть Замена устройств Замена ПО и железа может

занять несколько дней. Потеря пользовательских данных может быть приемлема. Есть персонал на замену

Замена необходима в течение нескольких минут. Потеря данных и конфигураций недопустима. Обученного персонала в достаточном количестве нет

Приложения Гетерогенные среды. Тип и число приложений определяются потребностями пользователей

Хорошо известное и ограниченное окружение. Используются только приложения, нужные для процесса



Критерий Офисная сеть Индустриальная сеть Сетевые протоколы Большое число протоколов и

форматов сообщений и файлов. Широковещательный трафик

Число протоколов автоматизации ограничено

Аппаратные платформы Применяется преимущественно PC-архитектура для Windows-платформы

Множество платформ и устаревших систем. Большое количество различных ОС, версий и сетевых протоколов

Коммуникации Высокодинамичные клиент-серверные и пиринговые соединения

Ограниченное число вариантов соединений


Почему не любая криптография подходит?

•  Передача данных в АСУ ТП оценивается не только и не столько скоростью передачи, которая для СКЗИ обычно измеряется на больших пакетах (400+ байт)

•  В АСУ ТП гораздо большее значение имеет размер защищаемой информации и требование по задержкам Зачастую защитить надо всего несколько бит информации В отдельных стандартах электроэнергетики требуется обеспечивать передачу данных с задержкой не более 10-6

Размер ключа шифрования для ГОСТ 28147-89 составляет 256 бит, что в десятки раз превосходит размер шифруемого блока Многие СКЗИ добавляют к каждому шифруемому пакету еще около 80 байт (зависит от СКЗИ)


Риторические вопросы

•  Может ли быть применен ГОСТ 28147-89 для шифрования и электронной подписи данных на цифровой подстанции, соединенной с ЦДУ каналов в 56 Кбит/сек?

•  Может ли какая-либо СКЗИ обрабатывать короткие пакеты от нескольких десятков тысяч одновременно передающих информацию устройств? А как управлять криптографическими ключами для такого количества устройств?

•  Может ли корпоративный VPN-шлюз работать на улице в температурном диапазоне от -40 до +60?


Какая криптография нужна в АСУ ТП?


Варианты реализации криптографии

Часть протокола взаимодействия

•  ZigBee •  Secure DNP3 •  DNPSec •  Secure Modbus • OPC

Встроенная в оборудование

•  Неприменима для «старого» оборудования

•  Не все устройства из-за нехватки системных ресурсов и требований к автономной работе поддерживают «лишний» функционал

•  Некоторые производители контроллеров стали оснащать свои решения встроенной криптографией

Наложенная

•  Самый популярный вариант

•  Подходит для «старых» устройств и зарубежных АСУ ТП, в которых необходимо обеспечить дополнительные гарантии

•  Идеальна для удаленного доступа

Повлиять нельзя Повлиять можно только при выборе оборудования

Максимально управляемая ситуация


Начало обращения к защищенным протоколам

•  TCP/IP-протоколы Туннелирование трафика между отправителем и получателем для защиты от подмены, повторного использования или перехвата сообщений

•  Индустриальные протоколы Внедрение защищенных версий протоколов (например, DNPSec, Secure DNP3 или прототип Secure Modbus) American Gas Association (AGA) Cryptography Working Group разработала набор открытых стандартов (AGA 12) для защиты коммуникаций


Защищенные протоколы пока редкость

Secure DNP3

•  Первая спецификация в 2007-м году

• Обеспечивает аутентификацию пользователей и устройств

• Обеспечивает целостность данных

• Модификация DNP3 на прикладном уровне

DNPSec

• Обеспечивает и целостность данных

•  Работает на уровне данных (ниже, чем Secure DNP3)

•  Даже при наличии защищенных версия протоколов, применяются они не всегда


Стандарты по криптографии в АСУ ТП: AGA 12

•  Cryptographic Protection of SCADA Communications: General Recommendations Общие вопросы защиты коммуникаций в АСУ ТП

•  Cryptographic Protection of SCADA Communications: Retrofit Applications Защита последовательных коммуникаций на местах

•  Cryptographic Protection of SCADA Communications: Protection of Networked Systems Защита высокоскоростных коммуникаций

•  Cryptographic Protection of SCADA Communications: Embedded Protection of SCADA Components Защита коммуникаций встроенных компонентов

SCADA Cryptographic Module (SCM)


Другие стандарты по криптографии в АСУ ТП

•  IEC 61784-4 «Digital data communications for measurement and control – Profiles for secure communications in industrial networks»

•  IEC 62351 «Data and Communication Security»

•  IEEE P1711 - Trial Use Standard for a Cryptographic Protocol for Cyber Security of Substation Serial Links


Тема активно прорабатывается последние 3-5 лет


Резюме: от чего зависит применение криптографии?

•  Необходимость или законодательные требования

•  Местонахождение объекта АСУ ТП (доступность для нарушителя)

•  Сегмент АСУ ТП (передача данных по открытым каналам связи)

•  Технологический процесс

•  Используемые типы коммуникаций в АСУ ТП

•  Используемые протоколы АСУ ТП

•  Число объектов АСУ ТП

•  Требования по задержкам в АСУ ТП

•  Физическая среда функционирования СКЗИ

•  Необходимость сертификации и отношение регулятора


Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/


Благодарю за внимание

Technology

Криптография в АСУ ТП: необходимость, дань моде или желание заработать