Поводом к
написанию статьи послужили размышления и полученный автором опыт попыток
применения «проекта методики моделирования угроз безопасности ФСТЭК России» на практике. В отличие от многочисленных примеров
данная статья не носит своей целью представления результатов моделирования
угроз или оценки самой методики. Цель представить описание возможного подхода к
автоматизации применения представленной методики и оценки потенциала прикладных
исследований в электроэнергетической отрасли.
Действительно
«период методологического безвременья» затянулся, словно застыв в прошлом, т.к.
несмотря на развитие нормативно-правого поля в области обеспечения безопасности
АСУ ТП методологическое обеспечение явно запаздывает.
До сих пор в практической
деятельности регулятор (ФСТЭК России) призывает использовать методические документы
более чем десятилетней давности. Конечно, срок разработки и издания не говорит
о положительных или отрицательных качествах документов, но за прошедшее время в
повседневный обиход международных и российских экспертов в области
информационной и кибербезопасности вошли понятия APT атак,
деревьев атак, попытки описать техники и тактики нарушителей. Несмотря на
мнение отдельных экспертов унаследованные методические подходы сложны в
применении и устарели. В экспертом сообществе все шире обсуждаются вопросы
связанные с попыткой описания вероятностного или наоборот детерминированного
характера процесса компьютерных атак.
Что тоже
нельзя назвать чем-то принципиально новым, так как компании и эксперты,
специализирующиеся на вопросах практической безопасности, уже много лет говорят
о подходе, согласно которому стоит руководствоваться принципом «100 %
компрометации ИС и иных активов». Другими словами, вас неминуемо «сломают»,
т.е. вероятность равна 1 😊.
Используемые
современные подходы по оценке угроз кибербезопасности нацелены на практическое
применение при построении комплексной системы защиты, определяя принципы и
способы выбора и тестирования эффективности средств защиты информации и
реализации встроенных функций безопасности в программно-аппаратных комплексах
АСУ ТП, РЗА и т.д., что по мнению автора нельзя сказать о наследованных нормативно-технических
требованиях и официальных документах российских регуляторов.
Так,
например, за прошедшее десятилетие официальная методическая база по
моделированию угроз обогатилась методиками моделирования угроз безопасности
обработки персональных данных, в 2015 году был выпущен неплохой проект методики
моделирования угроз безопасности информации информационных систем, который мог
стать основной для методики моделирования угроз БИ индустриальных систем, но
так и не получил официального статуса не смотря на то, что получил массовое
практическое использование в нашей стране.
По мере
внедрения на разных уровнях российской
электроэнергетики программно-технических комплексов ОИК, ССПИ, АСТУ, РЗА и ПА,
построенных на микропроцессорной основе и использующих разнообразное
общесистемное и прикладное программное обеспечение актуальной задачей является
развитие прикладных вопросов оценки угроз безопасности информации и
кибербезопасности, указанных комплексов. Речь идет о необходимости
анализировать угрозы программного и аппаратного обеспечения на разных уровнях,
то есть для анализа угроз общесистемного и программного обеспечения могут
использоваться специализированные для подобного применения методики, а для
объектовых ПТК и тем более распределенных систем другие, объединяющие в себе
несколько методических подходов, что мы и видим в проекте методики ФСТЭК России
2020 года. При этом применение данной методики требует экспертных знаний в
области информационной и кибербезопасности. Применение предложенной методики в
конкретной отрасли (электроэнергетика) потребует экспертных отраслевых знаний,
что еще больше усложняет массовое практическое использование.
Анализ
предложенной методики и небольшая практика применения определяет комплекс
требований к специалисту или группе специалистов, которые будут привлечены к
работам по моделированию угроз.
Специалисты
должны знать и уметь применять:
·
Положения теории систем и системного анализа;
·
Требования актуальных отраслевых СТО,
определяющих требования к проектированию современных ПТК Цифровых подстанций и
иных отраслевых систем и комплексов;
·
Передовые международные методические подходы к
анализу угроз: STRIDE, CAPEC , Kill Chain, MITRE AT&TC и др.
·
Базы знаний об актуальных угрозах и уязвимостях:
CVE и
CWE MITRE.
·
Положения международных стандартов МЭК 61850,
МЭК 61508, МЭК 62443, МЭК 62351.
·
Банк данных угроз ФСТЭК России.
На данный
момент таких специалистов не готовит ни один Вуз, что подчеркивает актуальность
инициативы по разработке нового Федерального Государственного Образовательного
Стандарта (ФГОС) со стороны инициативной группы авторов.
Поскольку
методический подход, предложенный авторской группой проекта «Методики….»
определяет в качестве первого шага формирование и описание перечня типовых
последствий, которые могут наступить в результате проведения компьютерных атак
актуальной задачей становится определение специфических для каждого из
сегментов электроэнергетики возможных последствий. Предстоит определить
единицы, в которых будут оцениваться эти последствия или сам вид этих
последствий, то есть варианты от оценки, который может быть представлен в
квт/часах, либо в виде перечня киберфизических последствий разной степени
локализации. От отключения группы потребителей до разрушений и деформации
первичного оборудования и тяжелых системных аварий в следствие компьютерных
атак. Таким образом формируется самодостаточная задача формирования и развития
базы знаний, посвященной аспектам классификации и описания возможных
последствий и как следствие оценки возможных причин.
Формирование
базы знаний потребует формирование и развитие моделей угроз разного уровня от
отдельного микропроцессорного интеллектуального электронного устройства (ИЭД):
контроллера, терминала релейной защиты и т.д. до ПТК ЦПС, АСТУ и АСДТУ.
Таким образом
приобретает актуальность разработки инструмента, который бы позволил с одной
стороны формировать целостную и непротиворечивую группу баз знаний, с другой
предложить способ масштабирования применения экспертных знаний.
Напрашивается
разработка отраслевой информационной экспертной системы, применение которой
позволит в российской электроэнергетической отрасли с одной стороны выполнять
требования российской нормативно правовой базы, с другой стороны применять
наиболее актуальные международные подходы к моделированию угроз
кибербезопасности, формировать обоснованные требования по обеспечению
безопасности и устойчивости функционирования объектов электроэнергетики.
Теоретической
основной построения экспертной системы (одного из видов систем основанной на
знаниях) могут быть использование и построение прикладных онтологий, систем
нечеткой логики, которые бы стали основной базы знаний экспертной системы. При
этом сама экспертная система может иметь классическую структуру, описанную в
множестве академических отечественных и зарубежных изданий.
К разработке
баз знаний целесообразно привлечь группу экспертов, обладающих разнообразной
экспертизой в областях цифровой электроэнергетики и кибербезопасности, общие
рекомендации по формирование рабочей группы разработки МУиН представлены в
проекте методики. На данный момент на кафедре РЗАиА НИУ МЭИ формируется
творческий коллектив, включающий магистров, аспирантов, прошедших и проходящих
подготовку в рамках новой программы подготовки специалистов для цифровой
энергетики, перед которым может быть поставлена задача поэтапного развития
прикладных исследований, посвященных теме текущей статьи. На мой взгляд,
сформулированные направления исследований обладают большим научным и прикладным
потенциалом. Ваше мнение?
Комментариев нет:
Отправить комментарий