Криптография в АСУ ТП: необходимость, дань моде или...
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Криптография в АСУ ТП Дань моде, необходимость или желание заработать? Алексей Лукацкий Бизнес-консультант по безопасности 3 June 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Что общего между криптографией в АСУ ТП и змеиным ядом?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
О чем мы будем говорить?
• Нужна ли криптография в АСУ ТП?
• Если в АСУ ТП нужна криптография, то где?
• Если криптография нужна в АСУ ТП, то какая?
• На что стоит обратить внимание при выборе криптографии для АСУ ТП?
Нужна ли криптография в АСУ ТП?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Чем определяется применение криптографии?
Необходимость
• Критичность информации для бизнеса
• Критичность информации для управления АСУ ТП
Требование
• Корпоративный стандарт
• Отраслевые требования
• Приказ регулятора • Федеральное законодательство
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что говорят международные стандарты?
Источник: SCADA System Cyber Security – A Comparison of Standards
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
А что говорят ФСТЭК и ФСБ?
• Федеральное законодательство пока не требует обеспечения конфиденциальности данных в АСУ ТП
АСУ ТП от ФСТЭК
• Конфиденциальность при необходимости, определяемой оператором/заказчиком АСУ ТП
• СКЗИ (если необходимы) могут быть любыми
КСИИ от ФСТЭК
• Требования к защите коммуникаций (для КСИИ II типа – для управления КВО)
• Применение только сертифицированных СКЗИ
КИИ от ФСБ
• Требований пока не установлено
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Где в АСУ ТП нужна криптография?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
4 основных элемента АСУ ТП
Система мониторинга и управления
RTU / PLC
Коммуникации
«Полевые» устройства
Консолидированная информация о ТП и управление ТП
Аккумулируют данных от большого количества полевых устройств и получают команды
Различные типы промышленных сетей, а также соединение с внешним миром
Аналоговые и неинтеллектуальные
устройства
***
*
**
**
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Типичная архитектура АСУ ТП и место криптографии
SCADA Server / Master / Master Terminal Unit (MTU) Конфиденциальность
не важна. Целостность - возможно
Конфиденциальность и целостность важны
Целостность важна. Конфиденциальность
- возможно
Конфиденциальность и целостность важны
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Big Удаленный доступ – криптография обязательна!
1) Использовать стандартный Enterprise уровня удаленный доступ IPSEC с аутентификацией через Radius
2) Ограничить возможность удаленных пользователей соединяться к DMZ только через HTTPS
3) Соединиться с порталом в DMZ https 4) Установить VPN сессию через SSL и ограничить использование приложений, например только RDP до терминального сервера
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Доступность объекта защиты для нарушителя влияет на необходимость применения криптографии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Не любая криптография и не каждому процессу
• Контролирующие процессы (включен/выключен, открыто/закрыто, высокая/низкая опасность…) Конфиденциальность может быть актуальной, но не с помощью «тяжелого» ГОСТ 28147-89 Возможно применение облегченной (легковесной) криптографии (в России принятые стандарты легковесной криптографии отсутствуют)
• Управляющие процессы (перекрыть вентиль, включить мотор…) Конфиденциальность вторична Целостность на первом месте
• Криптостойкость для технологических процессов может быть гораздо ниже, чем для долгосрочного хранения данных в офисной сети или для защиты гостайны
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Безопасность и здоровье населения
Отключение клиентов
Длительность отключений
Стабильность электропитания
Удар по генерирующим мощностям
Очень серьезные последствия
Многочисленные смерти и травмы
250,000 > клиентов
Месяцы Основные линии электропередачи
>10,000 Mw put offline
Серьезные последствия
Вероятные смерти или серьезные
травмы
100,000 > клиентов
Недели Ограниченные нарушения между
местами
>1,000 Mw put offline
Слабые последствия
Неопасные для жизни травмы
Тысячи клиентов Дни Временные «островки» >100 Mw put offline
Незначительные последствия
Ни один из вариантов
Сотни клиентов Часы Нет воздействия Допустимое отключение
Категории последствий
Тяжесть
последствий
Оценка ущерба от нарушения защищенности объектов ТЭК
Коммуникации в современных АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Различные среды передачи данных в АСУ ТП
• Кабель Витая пара Коаксиальный кабель Оптический кабель Сети электропередач
• Спутник
• Телефонная линия Выделенная Dial-In
• Радио в диапазоне VHF в диапазоне UHF микроволное радио (GSM, CDMA, UMTS)
• Wi-Fi 802.11 802.15.4 (ZigBee)
• Унификация описания промышленных сетей в виде стандарта IEC 61158 Однако до сиз пор применяется и множество проприетарных видов промышленных сетей В электроэнергетике применяется IEC 61850 (внутри подстанции)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Сравнение методов коммуникаций
Канал передачи Назначение Особенности Беспроводные Узкополосные
Каналы голосовой радиосвязи на базе радиостанций/радиомодемов
Для организации каналов связи по принципу "последней мили". Оптимальны для передачи коротких пакетов данных и/или небольшых объемов информации
Скорость передачи - до 19200 бит/с Дальность - до 40 км (зависит от рельефа местности и высоты подвеса антенн) Возможность передачи с движущихся объектов
Каналы сотовой связи на базе GSM/GPRS-модемов
Скорость передачи - 9600 бит/с (голосовой канал) до 21400 бит/с (GPRS) Дальность - определяется зоной покрытия оператором сотовой связи (зависит от рельефа и высоты подвеса антенн)
• Данные виды коммуникаций наиболее критичны к применяемой криптографии!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Сравнение методов коммуникаций
Канал передачи Назначение Особенности Беспроводные Широкополосные
Радиорелейные линии cвязи (РРЛ)
Магистральные каналы связи большой протяженности. Применяются для передачи больших объемов информации на значительные расстояния. Оптимальна для магистральных линий связи линейно-протяженных объектов.
Скорость передачи - до 1 Гбит/с Дальность - до 40 км (без ретрансляции) Работа - «точка-точка»
Каналы спутниковой связи VSAT на базе LinkStar
Для передачи данных с удаленных, временных, труднодоступных объектов
Скорость передачи - до 48 Мбит/с Дальность - зона охвата спутником Требует юстировки антенны (возможна автоматическая)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Сравнение методов коммуникаций
Канал передачи Назначение Особенности Кабельные
ВОЛС Передача больших объемов информации на значительные расстояния. Возможно решение задач как магистральных каналов связи, так и каналов связи "последней мили"
Скорость передачи - 10 Гбитс (возможно увеличение скорости использование многожильных кабелей); Дальность - до 200 км (без регенерации)
Кабельные (медные) линии связи
Различные типы оборудования и кабелей решают задачи как магистральных каналов связи, так и задачи "последней мили".
Скорость передачи - десятки Мбит/с (возможно увеличение использованием многожильных кабелей) Дальность - десятки км (без регенерации)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Cell/Area Zone Уровни 0-2
Индустриальная зона
Уровень 3
Буферная зона
(DMZ)
Контроль в реальном времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация Мультсервисные сети Безопасность приложений и управления
Контроль доступа
Защита от угроз
Сеть предприятия Уровни 4-5
Gbps Link for Failover Detection
Firewall & IPS
Firewall & IPS
Application Servers Cisco
Catalyst Switch
Network Services
Cisco Catalyst 6500/4500
Cisco Cat. 3750 StackWise Switch Stack
Patch Management Terminal Services Application Mirror
AV Server
Cell/Area #1 (Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
Drive Drive
HMI
Distributed I/O
HMI
Cell/Area #2 (Ring Topology)
Cell/Area #3 (Bus/Star Topology)
Controller
Интеграция в сеть предприятия UC Wireless Application Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Индустриальная сеть отличается от офисной по свойствам
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Разница между офисными и индустриальными сетями
Критерий Офисная сеть Индустриальная сеть Сетевая архитектура Обычно: отказоустойчивая
архитектура с автоматической перестройкой в случае отказа / время восстановления – около 1 минуты
Требуется восстановление после сбоя в течение 1 секунды
Поведение при высокой нагрузке Качество не гарантируется, но поддерживается лучшим из возможного (best effort)
Требуется снизить нагрузку (шейпинг, балансировка) для гарантий работоспособности устройств
• Помимо типа среды передачи данных важны еще и требования к самой передачи, отличающиеся от офисных сетей!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Разница между офисными и индустриальными сетями
Критерий Офисная сеть Индустриальная сеть Коммуникации в реальном времени
Определяются ожиданиями пользователя. Задержка до 1 минуты может быть приемлемой
Требуется действительно реальное время – задержки менее 1 мсек (зависит от устройств)
Жизненный цикл Железо и софт имеют жизненный цикл 3-7 лет (зависит от срока амортизации)
Типичный срок жизни свыше 10 лет
Производительность устройств Устаревшие устройства можно легко заменить
В зависимости от жизненного цикла замена может быть затруднительно
Мощность / производительность Дизайн систем позволяет использовать мощные процессора
Дизайн систем может ограничивать мощность устройства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Разница между офисными и индустриальными сетями
Критерий Офисная сеть Индустриальная сеть Управление патчами Управление патчами может иметь
больший приоритет, чем работа устройства. Доступна автоматизация обновлений. Перезагрузка (простои) устройств являются приемлемыми
Обновление не должно влиять на работоспособность устройства. Патч должен быть проверен перед установкой. Перезагрузки следует избегать
Доступность и простои Отказ одного или нескольких устройств и простои в течение нескольких часов приемлемы и не вызывает общего простоя
Отказ одного устройства может привести к выходу из строя всей производственной линии или процесса. Простои приемлемы обычно до 5 минут
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Разница между офисными и индустриальными сетями
Критерий Офисная сеть Индустриальная сеть Замена устройств Замена ПО и железа может
занять несколько дней. Потеря пользовательских данных может быть приемлема. Есть персонал на замену
Замена необходима в течение нескольких минут. Потеря данных и конфигураций недопустима. Обученного персонала в достаточном количестве нет
Приложения Гетерогенные среды. Тип и число приложений определяются потребностями пользователей
Хорошо известное и ограниченное окружение. Используются только приложения, нужные для процесса
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Разница между офисными и индустриальными сетями
Критерий Офисная сеть Индустриальная сеть Сетевые протоколы Большое число протоколов и
форматов сообщений и файлов. Широковещательный трафик
Число протоколов автоматизации ограничено
Аппаратные платформы Применяется преимущественно PC-архитектура для Windows-платформы
Множество платформ и устаревших систем. Большое количество различных ОС, версий и сетевых протоколов
Коммуникации Высокодинамичные клиент-серверные и пиринговые соединения
Ограниченное число вариантов соединений
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Почему не любая криптография подходит?
• Передача данных в АСУ ТП оценивается не только и не столько скоростью передачи, которая для СКЗИ обычно измеряется на больших пакетах (400+ байт)
• В АСУ ТП гораздо большее значение имеет размер защищаемой информации и требование по задержкам Зачастую защитить надо всего несколько бит информации В отдельных стандартах электроэнергетики требуется обеспечивать передачу данных с задержкой не более 10-6
Размер ключа шифрования для ГОСТ 28147-89 составляет 256 бит, что в десятки раз превосходит размер шифруемого блока Многие СКЗИ добавляют к каждому шифруемому пакету еще около 80 байт (зависит от СКЗИ)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Риторические вопросы
• Может ли быть применен ГОСТ 28147-89 для шифрования и электронной подписи данных на цифровой подстанции, соединенной с ЦДУ каналов в 56 Кбит/сек?
• Может ли какая-либо СКЗИ обрабатывать короткие пакеты от нескольких десятков тысяч одновременно передающих информацию устройств? А как управлять криптографическими ключами для такого количества устройств?
• Может ли корпоративный VPN-шлюз работать на улице в температурном диапазоне от -40 до +60?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Какая криптография нужна в АСУ ТП?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Варианты реализации криптографии
Часть протокола взаимодействия
• ZigBee • Secure DNP3 • DNPSec • Secure Modbus • OPC
Встроенная в оборудование
• Неприменима для «старого» оборудования
• Не все устройства из-за нехватки системных ресурсов и требований к автономной работе поддерживают «лишний» функционал
• Некоторые производители контроллеров стали оснащать свои решения встроенной криптографией
Наложенная
• Самый популярный вариант
• Подходит для «старых» устройств и зарубежных АСУ ТП, в которых необходимо обеспечить дополнительные гарантии
• Идеальна для удаленного доступа
Повлиять нельзя Повлиять можно только при выборе оборудования
Максимально управляемая ситуация
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Начало обращения к защищенным протоколам
• TCP/IP-протоколы Туннелирование трафика между отправителем и получателем для защиты от подмены, повторного использования или перехвата сообщений
• Индустриальные протоколы Внедрение защищенных версий протоколов (например, DNPSec, Secure DNP3 или прототип Secure Modbus) American Gas Association (AGA) Cryptography Working Group разработала набор открытых стандартов (AGA 12) для защиты коммуникаций
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Защищенные протоколы пока редкость
Secure DNP3
• Первая спецификация в 2007-м году
• Обеспечивает аутентификацию пользователей и устройств
• Обеспечивает целостность данных
• Модификация DNP3 на прикладном уровне
DNPSec
• Обеспечивает и целостность данных
• Работает на уровне данных (ниже, чем Secure DNP3)
• Даже при наличии защищенных версия протоколов, применяются они не всегда
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Стандарты по криптографии в АСУ ТП: AGA 12
• Cryptographic Protection of SCADA Communications: General Recommendations Общие вопросы защиты коммуникаций в АСУ ТП
• Cryptographic Protection of SCADA Communications: Retrofit Applications Защита последовательных коммуникаций на местах
• Cryptographic Protection of SCADA Communications: Protection of Networked Systems Защита высокоскоростных коммуникаций
• Cryptographic Protection of SCADA Communications: Embedded Protection of SCADA Components Защита коммуникаций встроенных компонентов
SCADA Cryptographic Module (SCM)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Другие стандарты по криптографии в АСУ ТП
• IEC 61784-4 «Digital data communications for measurement and control – Profiles for secure communications in industrial networks»
• IEC 62351 «Data and Communication Security»
• IEEE P1711 - Trial Use Standard for a Cryptographic Protocol for Cyber Security of Substation Serial Links
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Тема активно прорабатывается последние 3-5 лет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Резюме: от чего зависит применение криптографии?
• Необходимость или законодательные требования
• Местонахождение объекта АСУ ТП (доступность для нарушителя)
• Сегмент АСУ ТП (передача данных по открытым каналам связи)
• Технологический процесс
• Используемые типы коммуникаций в АСУ ТП
• Используемые протоколы АСУ ТП
• Число объектов АСУ ТП
• Требования по задержкам в АСУ ТП
• Физическая среда функционирования СКЗИ
• Необходимость сертификации и отношение регулятора
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Благодарю за внимание