Проблемы информационной безопасности в нефтегазовой отрасли

Размещено на http://www.allbest.ru/

УДК 665.63: 51.001.57

Атырауский институт нефти и газа, г.Атырау, Республика Казахстан

ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В НЕФТЕГАЗОВОЙ ОТРАСЛИ

Б.Б. ОРАЗБАЕВ

В процессе работы по усилению мер безопасности в целях обеспечения бесперебойных поставок такого важного сырья, как углеводороды, нефтегазовые компании сталкиваются с рядом сложных задач, в числе которых необходимость объединения прежде автономных систем АСУ ТП (Автоматизированная система управления технологическим процессом) и РСУ (Распределённая система управления) с другими системами и сетями предприятия, противоречащие друг другу организационные приоритеты, а также отсутствие каких-либо утвержденных предписаний по соблюдению стандартов в области информационной безопасности [1].

Два фактора послужили причиной резкого повышения приоритетного уровня проблем безопасности систем управления для компаний нефтегазовой отрасли:

1) Системы АСУ ТП и РСУ, используемые на нефтеперерабатывающих заводах, являются уязвимыми к компьютерным атакам.

2) Взрывоопасный характер нефтепродуктов [2]

В данной работе внимание акцентируется на эффективных методах, которые могут быть приняты на вооружение компаниями нефтегазового сектора в целях повышения безопасности систем АСУ ТП и РСУ. Рекомендации систематизированы в соответствии с четырехэтапным процессом организации информационной безопасности, включающим оценку угрозы, разработку политики безопасности и обеспечение ее соблюдения, реализацию средств защиты и мониторинг/управление безопасностью, и призваны содействовать организациям в повышении уровня безопасности и защиты жизненно важной части государственной инфраструктуры, сохраняя при этом надежность и производительность систем АСУ ТП и РСУ.

Во многих системах управления в нефтегазовой отрасли применяется протокол Modbus, обеспечивающий поддержку взаимодействия электронных устройств измерения параметров потока (electronic flow measurement, EFM) и удаленных терминалов (remote terminal units, RTU), разбросанных вдоль трасс трубопроводов в тысячах километров друг от друга. Наряду с предоставлением управленцам доступа к критически важным данным, постоянная сетевая связь также ведет к широкой общедоступности информации о таких системах управления и их уязвимостях [2,3].

Как правило, межкомпьютерные соединения возможно осуществить через интернет, что делает системы АСУ ТП и РСУ уязвимыми для таких угроз, как автоматически распространяющиеся черви. Взаимосвязанность машин позволяет хакерам получать доступ к системам, посредством которых они могут отключать сигнализацию, запускать или останавливать оборудование, изменять ключевые параметры настройки и многое другое.

Часто случается, что установившаяся практика, рассчитанная на повышение эффективности производства, по недосмотру может также привести к уязвимости систем.

Основными преимуществами централизованного управления и удаленного доступа являются автоматизация задач и возможность управления всей системой в реальном масштабе времени. Так например, предприятия нефтегазового сектора предоставляют удаленный доступ инженерам и подрядчикам компаний посредством модемов коммутируемых линий и других средств с тем, чтобы специалисты, находящиеся за пределами объекта, могли диагностировать и устранять неисправности в работе систем АСУ ТП и РСУ. Равным образом работники, прибывшие на объект с других участков, представители подрядных организаций и иные лица, имеющие право пребывания на объекте, время от времени нуждаются в доступе к корпоративной сети со своих портативных компьютеров [3].

Удаленный доступ к круглосуточно функционирующим системам создает дополнительные возможности для возникновения уязвимостей. Взаимосвязь с корпоративной сетью открывает новые точки доступа к системам АСУ ТП и РСУ, через которые в сеть и системы могут проникать вирусы или вредоносный код. В то же время требование непрерывности работы систем АСУ ТП и РСУ усложняет процесс реализации и тестирования средств безопасности, так как системы управления нельзя переводить в автономный режим работы [2].

Помимо всего прочего, инфраструктура нефтегазовых объектов является, как правило, территориально рассредоточенной, что еще более усложняет усилия по организации ее защиты. Даже имея хорошо организованные системы обнаружения вторжения, администраторы систем безопасности способны распознать только отдельные атаки, а не организованные схемы атак, распределенные по времени.

Конкурирующие стандарты и нормативы, предназначенные для нефтегазовой отрасли, только усугубляют путаницу. Фактически, на сегодняшний день от нефтегазовых компаний не требуется соблюдения каких-либо стандартов информационной безопасности. Пренебрегая существующей национальной политикой, поощряющей создание устойчивых инфраструктур, способных выдерживать атаки, нефтегазовые компании могут счесть следование такой политике экономически неэффективным.

Тем не менее, нефтегазовые компании могут повысить свой уровень безопасности и защитить критически важные объекты энергоснабжения, применяя четырехэтапный процесс организации информационной безопасности, включая оценку угрозы, разработку политики безопасности и обеспечение ее соблюдения, реализацию средств защиты и мониторинг/управление системами безопасности. В противном случае, при попытках организаций решить проблемы информационной безопасности с использованием непроверенных и несостоятельных мер обеспечения защиты можно ожидать еще более серьезного ущерба [4,5].

Рассмотрим этапы предлагаемого четырехэтапного процесса организации информационной безопасности:

- Оценка: Сбор сведений на начальном этапе оценки уровня безопасности компаниям как о внутренней, так и о внешней среде, в которой работает организация. Сюда относится оценка осведомленности компании об электронных угрозах до того, как они проявят себя в реальности, выявление возможных проблем, связанных с необходимостью соблюдения нормативных требований, оценка эффективности средств защиты и администрирования, а также практическое обоснование причин обеспокоенности состоянием безопасности с использованием методики испытания на проникновение [5].

- Разработка политики безопасности и обеспечение ее соблюдения: На этом этапе компании должны определиться, кто и к какой информации имеет право доступа, а также какие имеются должностные обязанности и на кого они возложены. Для обеспечения действенности политики организациям следует постоянно оценивать степень соответствия выработанной стратегии и процедурам и рекомендовать пути повышения соответствия в случае выявления отклонений [1,4].

- Реализация средств защиты: Рост характера активности злоумышленников в последнее время постоянно меняется и отличается появлением комбинированных угроз, использующих различные типы вредоносного кода, такие как вирусы, черви и троянские программы. Организациям необходимо принимать меры по обеспечению безопасности, оперативно устраняя уязвимости, наряду с организацией защиты устройств, приложений и сетей . Данный этап также включает реализацию процедур восстановления и средств, предназначенных для использования в этом.

- Мониторинг/управление системами безопасности: Ввиду круглосуточного характера функционирования инфраструктуры в нефтегазовой отрасли организациям следует осуществлять мониторинг и управление системами безопасности, включая круглосуточный мониторинг и управление информационными ресурсами, выполняемые в режиме реального времени в целях предотвращения нарушений нормального хода работы и снижения времени простоя.

Эффективно организованный процесс информационной безопасности требует периодического выполнения оценки уязвимостей систем АСУ ТП и РСУ. Ключевым моментом оценки уровня защиты является испытание на проникновение, проведение которого усложняется непрерывным режимом работы управляющих сетей нефтегазовых объектов. В то же время, круглосуточный характер функционирования таких сетей фактически исключает возможность привлечения обычных компаний-оценщиков информационной безопасности, не обладающих соответствующим опытом проведения испытаний на проникновение в среде АСУ ТП и РСУ.

Такая оценка уровня безопасности и степени риска осложняется тем, что в составе инфраструктуры в целом и в рамках нефтеперерабатывающих заводов в частности реализованы самые разные системы. Взаимосвязанность систем АСУ ТП, РСУ, корпоративных сетей и удаленных специалистов наряду с возрастающей частотой и серьезностью кибератак обусловливает необходимость усиления и обязательного соблюдения мер безопасности на объектах критически важной инфраструктуры - несмотря на отсутствие правил информационной безопасности, предписанных конкретно для данной отрасли.

По мере внедрения новых операционных систем, приложений и аппаратуры, обнаружения новых уязвимостей и атак, а также введения новых отраслевых стандартов и правил даже те компании, которые уделяют достаточное внимание информационной безопасности, сталкиваются с постоянно меняющимися требованиями к защите. К счастью, компаниям предлагается все большее число технологий и услуг, способных обеспечить защиту не только их собственных сетей АСУ ТП и РСУ, но также и других связанных с ними сетей. Решения безопасности, доказавшие свою эффективность в нефтегазовой отрасли, помогут смягчить обеспокоенность по поводу угроз безопасности, позволяя компаниям сосредоточить внимание на стратегических инициативах, предоставляющих им конкурентное преимущество на рынке [3,5].

безопасность управление нефтегазовый удаленный

Список использованных источников информации

1. Шахраманъян М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России. -М. : ИИЦ ФЦ ВНИИ ГОЧС, 2003.

2. Роговский Е.А. Кибербезопасность и кибертерроризм // С Ш А - Канада. - 2003. - № 8.

3. Ясенев, В.Н. Автоматизированные информационные системы в экономике и обеспечение их безопасности: Учебное пособие. - Н.Новгород, 2002

4. Ярочкин, В.И. Информационная безопасность. - М.: Мир, 2003

5. Царегородцев, А.В. Информационная безопасность в распределенных управляющих системах: Монография . - М.: Изд-во Рос. ун-та дружбы народов, 2003

Размещено на Allbest.ru