Современные информационные системы — наследники разностной машины Чарльза Бебиджа, который впервые ввел понятие, что для универсальных вычислительных машин, которые впоследствии стали называть компьютерами, нет особой разницы между управляющими командами, реализующими алгоритм преобразования данных, и самими преобразуемыми данными. И то и другое является для компьютера входными данными, которые могут и храниться в одном и том же формате, на одном и том же типе носителя, и, как следствие, могут меняться ролями. Инструкции могут восприниматься компьютером в качестве данных и подвергаться преобразованию на основании других данных, ставших на это время инструкциями. Впоследствии они могут опять использоваться в качестве инструкций для преобразования других данных, тем или иным образом попавших в память компьютера. Такая архитектура, при которой инструкции и данные хранятся в одной памяти и могут меняться ролями, называется архитектурой фон Неймана и лежит в основе всех современных компьютеров. Принципу, при котором между управляющими инструкциями и обрабатываемой информации не делается особой разницы, без малого два века.

ИБ-специалистам необходимо смириться со вторыми ролями в процессе обеспечения безаварийности производств. Реализация информационной безопасности АСУ ТП является лишь малой частью решаемых инженерами АСУ ТП задач по обеспечению промышленной безопасности, имеющих многовековую историю лучших практик.

Когда у владельцев информации, владение которой, как известно, является залогом владения миром, появилась потребность в ее защите, что и привело к появлению отрасли информационной безопасности, системы обработки информации, построенные на архитектуре фон Неймана, прочно завоевали рынок обработки информации. Очевидно, что развитие научной мысли в области защиты информации ориентировалось на основной принцип, заложенный в эту архитектуру, то есть принцип равнозначности объекта воздействия и инструкций, описывающих это воздействие.

Вторым столпом современной технологии обработки и защиты информации является возможность описания любых обрабатываемых данных в рамках понятийного аппарата бинарной алгебры. Мир информационных технологий — это мир нулей и единиц.

Последним фактором, определившим путь развития всей отрасли ИБ, стал конфликт. Вообще, вся история отрасли — это история конфликтов интересов. На момент появления первого требования по информационной безопасности и первого человека, который стал это требование выдвигать и контролировать исполнение, в отрасли обработки информации уже сложилась своя тусовка, в которую входили производители компьютеров, разработчики программ для них, а также прообраз современных интеграторов, то есть тех, кто умел соединить «железо» и «софт», чтобы заставить их выполнять понятную для владельцев информации функцию. Ни производители, ни разработчики, ни интеграторы не были шибко обрадованы приходом нового игрока, который, не создавая видимого продукта, пытался включить свои требования в отлаженный механизм создания систем обработки информации.

На помощь молодым защитникам информации пришел сэр Исаак Ньютон, еще в 1687 г. сформулировавший три закона механики, которые стали спасением для новой отрасли. Перефразируя первый закон Ньютона молодые защитники информации определили, что если исключить влияние внешних факторов на замкнутую систему, то будет сохранено такое ее состояние, при котором гарантируется функционирование системы в штатном, то есть задуманном разработчиками, режиме. Второй закон Ньютона позволил вводить в информационную систему входные данные без нарушения штатного режима функционирования. Ведь при приложении контролируемого, т. е. авторизованного внешнего воздействия, на объект можно гарантировать, что его поведение будет соответствовать расчетному, т. е. предусмотренному разработчиками. Обеспечивая авторизацию входного потока данных, куда входит как обрабатываемая информация, так и командные инструкции, можно гарантировать, что для информационной системы сохраняется режим ее штатной работы. Возможность описания всего мира информационных технологий, в том числе всех возможных проявлений внешнего воздействия, понятиями бинарной алгебры существенно упростило задачу создания универсальной крепостной стены, обеспечивающей защиту информационных систем. Для полного счастья осталось добавить требования к регистрации происходящих в информационной системе событий, что позволяет получить источник информации для размышления, если что-то вдруг пойдет не так. А контроль неизменности средств, обеспечивающих авторизацию внешнего воздействия на информационную систему, решил проблему нейтрализации влияния этого самого внешнего воздействия на систему его авторизации.

Способ сохранения штатного режима работы информационной системы через отсеивание всех воздействий на нее, которые не прошли авторизацию, позволили ИБ-специалистам избежать конфликта с разработчиками ИС. Ведь внешняя крепостная стена совершенно не мешала обрабатывать информацию внутри системы так, как этого хотелось разработчикам. Все данные, которые находилось внутри информационной системы, для которой гарантировалось отсутствие неавторизованного внешнего воздействия, считались защищенными. По мере взросления отрасли ИБ ее представители стали получать все большее признание в тусовке создателей и продавцов ИС. Функции безопасности стали все больше проникать внутрь информационных систем, но они, как и прежде, обеспечивали защиту от проникновения неавторизованного внешнего воздействия на защищаемый компонент ИС.

Обеспечение сохранности состояния информационной системы, при котором гарантируется эффективное противодействие неавторизованному внешнему воздействию на нее, можно условно назвать «information security» или, в контексте использования в мире информационных технологий, просто «security». Определение этого термина в различных национальных и международных стандартах, как «состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность», отражает цель, но не способ ее достижения.

Совершенно другая история развития была у систем, автоматизирующих управление технологическими процессами обработки объектов материального мира и производства на их основе различных материальных благ — от напряжения в бытовой розетке до космических аппаратов. Материальный мир при всем желании нельзя полностью описать нулями и единицами. Человек привык использовать в быту материальные блага, совершенно не задумываясь о том, каким законам они подчиняются, как они влияют на мироздание и как мироздание влияет на них. Материальный мир, в отличие от мира информационного, оперирует понятиями «примерно» и «приблизительно». Оценка одних и тех же событий, как и вызванная этой оценкой реакция, может меняться на абсолютно противоположную даже у одного и того же субъекта. Все зависит от огромного множества внешних факторов, которые в силу слабого знания человечеством основ мироздания, до сих пор воспринимаются как случайные. Разница между наполовину полным и наполовину пустым стаканом играет существенную роль в процессах управления объектами материального мира. Бинарная алгебра и простота описания мира, которую предоставляет ее понятийный аппарат, в управлении реальными объектами не имеют практического применения.

В отличие от систем обработки информации, автоматизированные системы управления технологическими процессами ведут свою родословную от аналоговых вычислительных машин, самая древняя из которых создана неизвестным древнегреческим мастером в 100-м году до нашей эры. Принципиальным отличием от универсального компьютера является отсутствие у аналоговой машины программы, хранимой вместе с данными. Да и объект, для преобразования которого создавались системы автоматизации производства, совершенно не похож на привычные специалистам информационных технологий данные. Под каждую технологию производства того или иного изделия требовались свои исходные материалы и инструменты, для автоматизации управления которыми создавались уникальные механизмы. Даже в универсальных аналоговых машинах для решения новой задачи требовалась перестройка внутренней структуры устройства.

В таких условиях вопрос защиты автоматизированных систем управления заключался в обеспечении стабильности и предсказуемости результата расчета управляющего воздействия на инструменты производства при изменении тех или иных показателей внешнего мира, будь то размеры заготовки, поступающей на вход станка, или температура в помещении, где это станок работает. До недавнего времени такой расчет обеспечивался механическим, а в более продвинутых системах — электромеханическим устройством. Недостаток гибкости таких устройств с успехом компенсировался надежностью, то есть обеспечением той самой стабильности и предсказуемости результатов расчета. Владельцы производств испытывали потребность в защите только от актов вандализма или саботажа, учитывать последствия которых не умели никакие устройства расчета.

С прорастанием ростков гуманизма у владельцев производств появилось понимание ценности человеческого ресурса, особенно квалифицированного. Задача защиты жизни и здоровья человека, как персонала, так и населения, проживающего в непосредственной близости от производства, потенциально подверженного авариям, стала занимать все более важное место в приоритетах производственного бизнеса. Причиной этого стало не только все более усиливающееся давление государства и поощряемой государством общественности в области борьбы с вредными побочными эффектами производства материальных благ. Хотя все более существенные штрафы за вредные выбросы делают экономически оправданным внедрение более экологически чистых технологий, а затраты на ликвидацию последствий техногенных катастроф на территориях, в сотни раз превышающих территорию самого производства, могут обанкротить даже крупный международный концерн. Безаварийность производства стала фактором, определяющим конкурентоспособность бизнеса. Промышленная безопасность, основной составляющей которой является охрана труда и снижение аварийности производства, стала синонимом понятия «safety».

Удивительно, но классический перевод слов «security» и «safety» на русский язык звучит совершенно одинаково — безопасность. Но их смысловое наполнение сильно отличается. Использование «сохранность» в качестве перевода слова «security», а «безаварийность» в качестве перевода слова «safety», возможно не очень точно, но позволило бы избежать массы конфликтных ситуаций в реалиях текущего момента, когда границы между миром информационным и миром материальным становятся все более незаметными.

Публикация приказа № 31 ФСТЭК России от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» дала старт гонке за получение куска пирога от нового рынка — обеспечения информационной безопасности АСУ ТП. При этом мнение людей, которые занимались автоматизацией управления процессами создания материальных благ, как это часто бывает, решили не учитывать. Ведь кому, как не специалистам в области безопасности информации, имеющим огромный опыт успешных внедрений защищенных информационных систем, определять, как нужно обеспечивать защиту АСУ ТП, ведь это всего лишь один из видов автоматизированных систем (тождественность понятий «автоматизированная система» и «информационная система» подтверждена официальными письмом ФСТЭК России, хотя это совершенно разные понятия, но кто об этом помнит). Что же до мнения автоматизаторов производства, то у современных защитников информации есть успешный опыт получения признания в тусовке производителей систем обработки информации — мы ведь, как и наши предшественники в те далекие времена становления отрасли ИБ, не лезем внутрь систем автоматизации производств. По крайней мере, пока.

Но АСУ ТП имеют более древнюю историю, чем системы обработки информации, и их эволюция протекала совершенно иначе. Даже перейдя на «цифру» и заменив механические и электромеханические устройства расчета управляющего воздействия на универсальные компьютеры, АСУ ТП по-прежнему остались наследниками аналоговых вычислительных устройств. Доработанные под нужды отрасли ИБ законы Ньютона дали сбой.

Привычные входные потоки, объединявшие в себе управляющие команды и обрабатываемую информацию, не существуют в мире АСУ ТП. На вход технологического процесса, которым управляет АСУ ТП, поступают материальные объекты в виде заготовок, комплектующих деталей или просто исходных материалов. Как и любые другие объекты материального мира, они не могут быть просто описаны нулями и единицами. Преобразование физических параметров объектов материального мира не только не точно из-за неизбежных погрешностей измерительных приборов, но и не полно из-за несовершенства наших знаний о мироздании. До преобразования измерений в цифровой формат, с которым умеют работать средства авторизации потоков входной информации, на их величину оказывает влияние огромное количества факторов, авторизация которых, по понятным причинам, не осуществляется. Попытка организовать защиту от неавторизованного внешнего воздействия после того, как это воздействие уже произошло, обречена на провал. Привычные способы достижения «security» не работают, а к «safety», с которым привыкли иметь дело инженеры АСУ ТП и которое представляет непосредственный интерес для владельцев производств, они вообще не имели и не имеют никакого отношения.

Но инженеры АСУ ТП тоже столкнулись с проблемами, которые раньше не оказывали влияния на безаварийность технологических процессов. Использование технологий, которые пришли из мира обработки «чистой» информации, повлекло угрозы, которые были присущи только тому, виртуальному миру. И эти виртуальные угрозы стали влиять на мир материальный. Причем самым плачевным способом — искусственно созданные техногенные катастрофы, разрушение средств производства, да и просто простои производственных линий, которые могут быть вызваны не только деятельностью специализированного вредоносного программного обеспечения, но и совершенно безобидными программками, побочные эффекты исполнения которых успешно игнорируются в мире обработки информации, но ставят в тупик исполнительные механизмы, воздействующие на объекты материального мира.

Обеспечить безаварийность производства, то есть реализовать то самое «safety», без которого уже давно не мыслима ни одна АСУ ТП, в реалиях нового мира без границ между информационными и реальными объектами невозможно без использования накопленных за десятилетия знаний и опыта в «information security». Но обида на интеграторов информационной безопасности — «этих выскочек», которые катком прошлись по многовековым традициям автоматизации производств, не позволяет инженерам АСУ ТП сделать свой шаг навстречу и принять столь необходимую им помощь.

В настоящее время назрела необходимость переосмысления и перезагрузки действий участников забега на приз «безопасности АСУ ТП». Только совместные усилия ИБ-специалистов и инженеров АСУ ТП позволят обеспечить безаварийность технологических процессов на современном этапе автоматизации их управления. При этом первым придется смириться со вторыми ролями в данном процессе. Реализация «security» является лишь малой частью решаемых задач по обеспечению «safety» производств, имеющих многовековую историю лучших практик.

Версия для печати