Серія стандартів IEC 62443: як захищатися від кібератак на інфраструктурні об’єкти

У статті розглянуто особливості стандартів серії IEC 62443. Стаття підготована за матеріалами зарубіжних публікацій.

В. Романов

У статті досліджуються основні особливості серії стандартів IEC 6244, призначених для забезпечення кібербезпеки та захисту критичної інфраструктури від хакерських атак. Стандарти цієї серії пропонують високий рівень безпеки, однак це створює кілька проблем для розробників, яким потрібно отримати на свій виріб відповідний сертифікат з кібербезпеки. Організація кібербезпеки для компонентів проми­слових автоматизованих систем управління (IACS – Industrial automated control systems) на рівні ІМС дозволяє досягти цілей сертифікації для таких си­стем.

Незважаючи на потенціал все більш витончених кібератак, у промислових автоматизованих систе­мах управління до останнього часу не поспішали вживати належних заходів до кібербезпеки. Частко­во це сталося через відсутність загальних рекомен­дацій для розробників та операторів таких систем. Серія стандартів IEC 62443 пропонує шлях до більш безпечної промислової інфраструктури, але компа­нії виробники повинні навчитися орієнтуватися в її складності та розуміти ці нові виклики, щоб успішно використовувати її.

Цифровізація критично важливих інфраструктур, таких як водорозподіл, каналізація та електромере­жі, забезпечила безперебійний доступ до них у по­всякденному житті. Однак кібератаки є однією з причин збоїв у роботі цих систем, і очікується, що у майбутньому вони будуть зростати . Індустрія 4.0 потребує застосування датчиків, виконавчих меха­нізмів, шлюзів і агрегаторів з високим рівнем зв’яз­ку. Розширене підключення цих засобів збільшує ри­зик потенційних кібератак, роблячи заходи кібер- безпеки більш критичними, ніж будь-коли. Створен­ня таких організацій, як Агентство з кібербезпеки та безпеки інфраструктури у США (CISA – Cybersecurity and Infrastructure Security Agency), підтверджує важливість захисту критичної інфраструктури та забез­печення її стійкості проти можливих кібератак .

Кібератака Stuxnet у 2010 році показала вразли­вість промислових інфраструктур . Ця атака стала першою у світі кібератакою, яка довела, що такі ата­ки можуть успішно виводити зі строю промислові автоматизовані системи управління, такі як IACS. Подальші атаки підтвердили усвідомлення того, що промислова інфраструктура може бути пошкоджена через дистанційні атаки, спрямовані на певний тип обладнання.

Державні установи, комунальні підприємства, користувачі автоматизованих систем IACS та вироб­ники обладнання швидко зрозуміли, що такі систе­ми необхідно захищати від кібератак. Хоча уряди та користувачі, природно, схилялися до організаційних заходів в організації безпеки, виробники обладнан­ня досліджували можливі апаратні та програмні за­соби протидії кібератакам. Слід відмітити, що впро­вадження заходів безпеки відбувається повільно че­рез:

• складність інфраструктури
• різні інтереси та проблеми зацікавлених сторін
• різноманітність реалізації і доступних опцій
• відсутність конкретних цілей захисту.

Загалом, зацікавлені сторони зіткнулися з неви­значеністю щодо оптимального рівня кібербезпеки, який би збалансував захист із витратами. Міжна­родне товариство з автоматизації (ISA – Society for Automation) створило робочі групи для розробки спільних посилань в рамках ініціативи ISA99, що врешті призвело до розробки серії стандартів IEC 62443. Цей набір стандартів організовано за чо­тирма рівнями та категоріями, як показано на рис. 1. Завдяки широкій сфері застосування стандарти се­рії IEC 62443 охоплюють організаційні проблеми, процедури, оцінку ризиків і безпеку апаратних і програмних компонентів автоматизованих систем управління. Повний обсяг цих стандартів робить їх унікальними для адаптації систем захисту від кібе- ратак до сучасних систем автоматизації. Крім того, міжнародне товариство ISA застосувало комплекс­ний підхід до вирішення інтересів усіх зацікавлених сторін, залучених до розробки, створення та екс­плуатації систем автоматизації управління IACS. За­галом питання кібербезпеки різняться для цих заці­кавлених сторін. Наприклад, якщо крадіжка IP адре­си, непокоїть оператора виробничого процесу, то виробник обладнання може бути занепокоєним за­хистом алгоритму штучного інтелекту (AI). Крім того, оскільки автоматизовані системи управління можуть бути дуже складними, важливо враховувати весь спектр їх безпеки. Самих процедур недостатньо, якщо вони не підтримуються безпечним обладнан­ням, тоді як надійні компоненти марні, якщо їх без­печне використання належним чином не визначено процедурами.

Рис. 1. Структура комплексного стандарту з кібербезпеки IEC 62443

Діаграма на рис. 2 показує рівень впровадження стандартів серії IEC 62443 через необхідність серти­фікації систем автоматизації управління. Як і очіку­валося, цей стандарт, визначений ключовими заці­кавленими сторонами галузі систем управління, прискорив впровадження заходів кібербезпеки.

Рис. 2 Кількість процедур сертифікації за стандартами серії IEC 62443

IEC 62443 є комплексним і ефективним стандар­том з кібербезпеки, але його складність досить ве­лика. Сам документ має майже 1000 сторінок. Отримання чіткого розуміння протоколів кібербезпеки вимагає відповідного навчання. Кожен розділ у IEC 62443 слід розуміти як частину цілого, оскільки всі розділи взаємозалежні, як показано на рис. 3. Наприклад, згідно зі стандартом IEC 62443-4-2 не­обхідно провести оцінку ризику, спрямовану на всю автоматизовану систему IACS, а її результати обу­мовлюватимуть рішення, які визначають цільові рівні безпеки для обладнання .

Рис. 3. Рівні процесів сертифікації

Проєктування обладнання, сумісного з стандар­тами серії IEC 62443. Найвищий рівень кібербезпеки вимагає впровадження апаратного забезпечення. Стандарти серії IEC 62443 визначають рівні безпеки, як показано на рис. 4.

Рис. 4. Рівні безпеки згідно з стандартами серії IEC 62443

Стандарт IEC 62443-2-1 вимагає проведення оцінки ризиків безпеки. У результаті цього процесу кожному компоненту призначається цільовий рівень безпеки (SL-T). Згідно з рисунками 1 і 3, деякі части­ни стандарту стосуються процесів і процедур, тоді як стандарти IEC 62443-4-1 і IEC 62443-4-2 стосуються безпеки компонентів. Типи компонентів згідно з стандартом IEC 62443-4-2 – це програмні додатки, хост-пристрої, вбудовані пристрої та ме­режеві пристрої. Для кожного типу компонента стандарт IEC 62443-4-2 визначає рівень безпеки (SL-C) на основі вимог до компонента (CR) і вимог до вдосконалення (RE), яким вони відповідають. У табл. 1 підсумовано рівні безпеки SL-A, SL-C, SL-T та визначено їх співвідношення.

Таблиця 1. Рівні безпеки SL-A, SL-C, SL-T

Розглянемо це на прикладі програмованого ло­гічного контролера (ПЛК), підключеного до мережі. Безпека мережі вимагає автентифікації ПЛК таким чином, щоб він не міг стати входом для атак. Добре відома технологія — це аутентифікація на основі від­критого ключа. Стосовно стандарту IEC 62443-4-2:

• рівень 1 не розглядає криптографію з відкри­тим ключем
• рівень 2 вимагає загальноприйнятих процесів, таких як перевірка підпису сертифікатів
• рівні 3 і 4 вимагають апаратного захисту закри­тих ключів, які використовуються в процесі аутенти- фікації.

Починаючи з рівня безпеки 2, потрібно викори­стовувати багато функцій безпеки, включаючи меха­нізми, засновані на криптографії, що містить секрет­ні або особисті ключі. Для рівнів безпеки 3 і 4 у ба­гатьох випадках необхідний апаратний захист функ­цій безпеки або криптографії. Саме тут розробники компонентів отримують вигоду від вже готових ІМС безпеки, вбудовуючи такі основні механізми, як:

• безпечне зберігання ключів
• захист від бічних атак
• команди, які підтримують такі функції, як:
• шифрування повідомлень
• обчислення цифрового підпису
• перевірку цифрового підпису.

ІМС безпеки звільняють розробників компонен­тів автоматизованих систем управління від додатко­вого проєктування відповідних апаратних засобів безпеки. Ще одна перевага використання мікро­схем безпеки полягає в тому, що вони мають вбудо­вану ізоляцію між функціями загального призначен­ня та спеціальними функціями безпеки. Міцність функцій безпеки легше оцінити, коли безпека зосе­реджена в елементі, а не розповсюджена на всю си­стему. Завдяки ізоляції також зберігається перевір­ка функції безпеки для модифікацій програмного та/або апаратного забезпечення компонентів. Оновлення можна виконувати без необхідності пе­ревірки (переоцінки) повної функції безпеки.

Таким чином, постачальники захищених мікро­схем можуть реалізувати надзвичайно потужні ме­тоди захисту, недоступні на рівні друкованої плати чи системи. Це стосується захищеної пам’яті EEP­ROM або флеш-пам’яті, або фізичної неклонованої функції (PUF) в ІМС мікропроцесора, яка може до­сягти найвищого рівня стійкості до найскладніших кібератак. Загалом, мікросхеми безпеки є чудовою основою для підтримки кібербезпеки системи у цілому.

Фізична неклонована функція ФНФ або PUF — це фізичний об’єкт, який для певних умов забезпечує фізично визначений «цифровий відбиток» і який слу­жить унікальним ідентифікатором для мікросхем, таких як, наприклад, мікропроцесор. Функції ФНФ застосовуються в мікросхемах у разі високих вимог до кібербезпеки, наприклад, у криптографії.

Індустрія 4.0 передбачає розгортання великої кількості периферійних пристроїв. Вхідні та вихідні пристрої систем автоматизації управління вклю­чають сенсори, виконавчі механізми, маніпулятори роботів, ПЛК з модулями вводу-виводу тощо. Кожен периферійний пристрій підключено до мережевої інфраструктури і він стає потенційною точкою входу для хакерів. Причому атаки не тільки зростають про­порційно кількості пристроїв, але різноманітний склад пристроїв розширює кількість напрямків таких атак. Враховуючи існуючі платформи, багато на­прямків атак несуть підвищений ризик як для кінце­вих пристроїв, так і для периферійних. Наприклад, у складній системі автоматизації управління не всі сенсори або виконавчі механізми надходять від од­ного постачальника, також вони мають різні структу­ри, різні компоненти, включно мікроконтролери, різ­ні операційні системи або комунікаційні стеки. Кож­на структура має свої слабкі місця. Як наслідок, си­стеми автоматизації управління піддаються всім вразливостям, як показано в . Більше того, завдя­ки розвитку промислового Інтернету речей IoT щодо впровадження більшої кількості інтелектуальних пристроїв , в таких системах є пристрої з при­йняття автономних системних рішень. Тому ще важ­ливіше переконатися, що апаратному та програмно­му забезпеченню у таких автономних пристроях можна довіряти, оскільки ці властивості мають важ­ливе значення для підтримки безпечної роботи си­стеми в цілому. Слід звернути увагу і на те, що за­хист інтелектуальної власності від крадіжки, наприк­лад, алгоритмів штучного інтелекту, є поширеним фактором, який може стати причиною відповідного захисту і який підтримує IMC безпеки.

Крім того, недостатня кібербезпека системи ав­томатизації управління може негативно вплинути на функціональну безпеку. Взаємодія функціональної безпеки та кібербезпеки складна, і обговорення її заслуговує окремої статті, але на сьогодні можна виділити наступне:

• функціональна безпека електричних/електрон- них/програмованих електронних систем згідно з стандартом IEC 61508 вимагає проведення аналізу ризиків кібербезпеки на основі стандартів серії IEC 62443
• незважаючи на те, що стандарт IEC 61508 зосе­реджується в основному на аналізі безпеки та ризи­ків, він зобов’язує виробників проводити подальший аналіз загроз безпеці та вразливості, коли кібербез- пека є важливою системною функцією.

Стандарт з кібербезпеки IEC 62443-4-2 визна­чає конкретні вимоги до цих систем, такі як механіз­ми захисту від зловмисного коду, безпечні оновлен­ня мікропрограми, захист від несанкціонованого фі­зичного втручання і т. і. Досягнути цілей кібербезпе- ки згідно з стандартами серії IEC 62443 можливо за допомогою безпечних автентифікаторів, які, на­приклад, пропонує компанія Analog Devices, і які розроблені для забезпечення вимог цих стандартів з урахуванням простоти впровадження та економіч­ності. До таких засобів слід віднести ІМС із фіксова­ними функціями, які постачаються з повним стеком програмного забезпечення для головного процесо­ра. При використанні таких захищених компонентів системні розробники можуть зосередитися на про- єктуванні системи автоматизації і контролю в ціло­му. Захищені автентифікатори є основою довіри, підтримують безпечне зберігання ключів і конфіден­ційних даних, що відображають стан обладнання, наприклад, хеші мікропрограм. Вони мають повний набір криптографічних функцій, включаючи автенти- фікацію, шифрування, безпечне зберігання даних, керування життєвим циклом і безпечне завантажен- ня/оновлення даних. Технологія фізично неклонова- ної функції ChipDNA™ (PUF) використовує природні випадкові варіації в процесах виробництва пластин для генерації криптографічних ключів замість того, щоб зберігати їх у традиційній пам’яті EEPROM Flash. Хакерське проектування цих мікросхем за до­помогою електронного мікроскопа та мікрозонду- вання для вилучення ключів технологічно неможли­ве. Жодна технологія за межами спеціальних ІМС не може досягти такого рівня кіберстійкості. Захищені автентифікатори дозволяють розробникам отриму­вати сертифікати на виконані розробки автоматизо­ваних систем управління .

Захищені автентифікатори є найкращим варіан­том для високого рівня кібербезпеки. Вони економ­лять зусилля на дослідженнях і розробках, пов’язані з додатковим перепроєктуванням пристрою для за­безпечення відповідної кібербезпеки. Наприклад, вони не потребують заміни основного мікроконтро- лера. Захищені автентифікатори DS28S60 і MAXQ1065 задовольняють усім рівням вимог стандарту IEC 62443-4-2, як показано на рис. 5. Ключові параметри цих автентифікаторів наведено у табл. 2.

Таблиця 2. Основні параметри ІМС DS28S60 та MAXQ1065

Компоненти систем автоматизації управління, які вже містять мікроконтролер із функціями кібер- безпеки для відповідності вимогам стандарту IEC 62443-4-2, також мають переваги від захищених ав- тентифікаторів для отримання ключів і сертифікатів. Такий підхід захищає ключі, що зберігаються в мік- роконтролерах від незаконного вилучення за допо­могою засобів налагодження, таких як JTAG.

Рис. 5. Функції захищених автентифікаторів, які відповідають вимогам IEC 62443

ВИСНОВКИ

Прийнявши серію стандартів з кібербезпеки IEC 62443, розробники та користувачі систем автомати­зації управління створили шлях до надійної та без­печної інфраструктури. Захищені автентифікатори є основою захищених компонентів, сумісних зі стан­дартами IEC 62443, які потребують надійної апарат­ної безпеки. Виробники оригінального обладнання можуть впевнено проєктувати свої системи автома­тизації управління, розуміючи, що безпечні автенти- фікатори допоможуть їм отримати необхідні серти­фікати на їх нову продукцію.

ЛІТЕРАТУРА

• Lorenzo Franceschi-Bicchierai. Ransomware Gang Accessed Water Supplier’s Control System. Vice, August 2022.
• Protecting Critical Infrastructure. Cybersecurity and Infrastructure Security Agency.
• Bruce Schneier. The Story Behind The Stuxnet Virus. Forbes, October 2010.
• ISASecure CSA Certified Components.ISASe- cure.
• Patrick O’Brien. Cybersecurity Risk Assessment According to ISA/IEC 62443-3-2. Global Cybersecurity Alliance.
• ATT&CK Matrix for Enterprise. MITRE ATT&CK®.
• Cybersecurity Alerts & Advisories. Cybersecurity and Infrastructure Security Agency.
• Ian Beavers. Intelligence at the Edge Part 1: The Edge Node. Analog Devices, Inc., August 2017.
• Trust Your Digital Certificates—Even When Of­fline. Design Solutions, No.56, May 2017.