5. Заключение об эффективности мер защиты УСПД, ПУ и СКЗИ УСПД и ПУ

В результате проведенного анализа угроз информационной безопасности УСПД, ПУ и СКЗИ УСПД и ПУ, можно сделать следующие выводы:

1 Применение приборов учета и устройств передачи данных, разработанных с учетом требований, установленных Правительством Российской Федерации для интеллектуальных систем учета электрической энергии (мощности) [2], порождает как новые угрозы, так и новые возможности комплексной защиты ПУ и УСПД в составе ИСУЭ. Важным фактором, существенно изменяющим условия безопасности эксплуатации ПУ и УСПД в терминах требований [2] является передача приборов учета и УСПД в руки единого, доверенного оператора ИСУЭ, что существенно ограничивает присутствие в числе пользователей ИСУЭ внутренних нарушителей. При правильной организации работы с персоналом оператора ИСУЭ к внутренним нарушителям можно отнести, в основном, только сотрудников сервисных организаций, обеспечивающих ввод в эксплуатацию, технологическое обслуживание и ремонт ПУ и УСПД.

2 Анализ угроз информационной безопасности ПУ, УСПД, СКЗИ ПУ и УСПД показывает, что внутренний нарушитель, обеспечивающий ввод в эксплуатацию, технологическое обслуживание и ремонт ПУ и УСПД, будет существенно ограничен в своих возможностях атаки на СКЗИ ПУ и УСПД в случае, если:

- идентификация ПУ и УСПД в течение всего их жизненного цикла будет осуществляться при помощи уникальных идентификаторов микроконтроллеров, применяемых в этих устройствах;

- контроль подлинности экземпляра ПУ и УСПД будет выполняться при помощи дополнительных некриптографических (транспортных) секретов, формируемых в защищенных технологических процессах и исключающих возможность подмены изделия;

- целостность и аутентичность всего комплекса программного обеспечения, составляющего среду функционирования криптосредств ПУ и УСПД, будет контролироваться с использованием централизованных доверенных серверов ИСУЭ на этапах производства, ввода в эксплуатацию, ремонта ПУ и УСПД, будет исключена загрузка недоверенного программного обеспечения;

- все значимые технологические операции прошивки программного обеспечения, критичных данных и транспортных секретов будут выполняться при помощи специализированных автоматизированных рабочих мест, работающих совместно с доверенными серверами ИСУЭ и снабженных СКЗИ, сертифицированными ФСБ России, устойчивыми к атакам со стороны пользователя (класс СКЗИ не ниже КС3).

Важным следствием, вытекающим из предлагаемых для защиты от атак со стороны внутреннего нарушителя мер безопасности, является тот факт, что этот нарушитель не имеет возможности бесконтрольной работы с полнофункциональным СКЗИ. Дело в том, что СКЗИ не могут осуществлять свои функции без установленных криптографических ключей, а ПУ и УСПД на всех этапах, кроме этапа эксплуатации, не содержат в себе криптографических ключей, которые вводятся на этапе ввода устройства в эксплуатацию (операция персонализации СКЗИ) и уничтожаются при выводе устройства из эксплуатации.

Вместе с тем, для предупреждения атак со стороны внутреннего нарушителя, помимо применения СКЗИ класса не ниже КС3, должны быть дополнительно приняты следующие организационные меры безопасности:

а) требования безопасности должны быть в исчерпывающем составе перечислены в правилах пользования соответствующих СКЗИ, обеспечивающих производство, ввод в эксплуатацию (регистрацию), ремонт УСПД и ПУ, снабженных СКЗИ;

б) выполнять операции производства, ввода в эксплуатацию (регистрации) и ремонта УСПД и ПУ, снабженных СКЗИ, должен представитель организации, обладающей действующими лицензиями ФСБ России на выполнение соответствующих видов деятельности;

в) лицензиат ФСБ России, выполняющий операции производства, ввода в эксплуатацию (регистрации) и ремонта УСПД и ПУ, снабженных СКЗИ, должен:

1) разработать регламенты защищенных технологических процессов для исполнения всех операций, оказывающих влияние на состояние безопасности УСПД и ПУ, снабженных СКЗИ;

2) документировать все производственные, регистрационные и ремонтные операции с СКЗИ с указанием даты и времени, места исполнения операции технологического процесса, модели и серийного номера УСПД и ПУ, снабженного СКЗИ, с которым выполняется технологическая операция, регистрационного номера (регистрационных номеров) СКЗИ УСПД и ПУ, снабженных СКЗИ, регистрационного номера СКЗИ автоматизированного рабочего места, выполняющего технологическую операцию, результата технологической операции вне зависимости от успеха или неуспеха ее исполнения;

3) в установленном порядке предоставлять уполномоченным органам отчетность по деятельности, включая, при необходимости, первичные документы, описанные выше в перечислении б).

3 Другой важный вывод, вытекающий из анализа угроз информационной безопасности ПУ, УСПД, СКЗИ ПУ и УСПД, состоит в том, что в составе ИСУЭ эксплуатируются информационные активы существенно различные по ценности и по уровню ущерба от нарушения их информационной безопасности, в частности:

- риск нарушения конфиденциальности показаний приборов учета пренебрежимо мал; значительная часть сведений об энергопотреблении абонентов сетей электроснабжения открыто читается прямо с индикаторов (дисплеев) ПУ и этот факт не беспокоит потребителей;

- нарушение целостности, потеря (уничтожение, компрометация, фальсификация) единичных показаний или даже полного потока показаний единичного прибора учета составляет, в масштабах ИСУЭ, пренебрежимо малый риск; наличие таких показаний и их достоверность относительно легко и достаточно эффективно контролируются со стороны ИВК, выстраивающего полный энергобаланс каждого объекта контроля и выявляющего все аномалии измерительного процесса ПУ (превышение или недостаток потребления, нарушения статистических показателей режимов потребления электрической энергии (мощности) во времени, соотношения между активной и реактивной составляющей мощности и т.п.);

- риск нарушения целостности, потери (уничтожения компрометации, фальсификации) показаний измерений, концентрируемых единичным УСПД, также изначально, даже без применения каких-либо средств защиты информации, оценивается как низкий по тем же причинам, что и для ПУ, а также потому, что единичное УСПД обслуживает относительно малое число (до нескольких сотен, в среднем - несколько десятков) ПУ;

- риски вмешательства в процесс конфигурирования ПУ и УСПД, не касающегося управления энергопотреблением, представляются низкими или средними;

- риски несанкционированного доступа к управлению энергопотреблением представляются высокими, поскольку могут приводить к экономическим потерям, нарушению хозяйственной деятельности и даже угрозам жизни и здоровью граждан, выступающих в качестве потребителей электроэнергии или зависящих от результатов деятельности потребителей электроэнергии;

- наивысшим же следует признать риск реализации угроз, выполняемых по типу инфраструктурных атак, связанных с массовыми нарушениями процесса энергоснабжения потребителей; ущерб от реализации таких угроз сравним, а в ряде случаев может превосходить по техническим, экономическим, социальным и политическим последствиям, ущерб от крупных техногенных катастроф, экологических бедствий и террористических актов;

- инфраструктурные атаки могут иметь две цели: УСПД (ПУ) и ИВК; атаки на парк ПУ и УСПД могут приобретать реально опасные масштабы только в случае, если эти атаки осуществляются в массовых масштабах методами сетевого доступа; в то же время эффективная атака против ИВК может привести к катастрофическим последствиям в случае, если нарушителю удастся перехватить управление ИВК в целом; при этом важно понимать, что такая атака может быть осуществлена при помощи компрометированного ПУ или УСПД или от несанкционированно включенного в сеть под защитой УСПД вредоносного устройства; защита от атак на ИВК должна осуществляться, в первую очередь, средствами, локализованный в сетевом сегменте ИВК или на периметре этого сегмента; описание этих средств защиты выходит за пределы настоящей типовой модели угроз, однако важно понимать, что вероятность таких атак будет сведена к минимуму в случае, если каждый узел сети ИСУЭ, в том числе - каждый ПУ и УСПД будет снабжен СКЗИ, обеспечивающими режим взаимной аутентификации всех сетевых устройств и тотальной защиты (изолирующей политики шифрования трафика) ПУ и УСПД.

4 Анализ методов, которыми могут осуществляться различные угрозы показывает, что, по совокупности факторов, для ИСУЭ, представляющей собой территориально распределенную гетерогенную информационную систему массового обслуживания, являются сетевые информационные атаки. Этот вывод основывается на том, что:

- приборы учета и УСПД сами по себе достаточно хорошо защищены физически; традиция применения мер физической защиты распределительных, управляющих и измерительных приборов в энергетических сетях имеет более чем столетнюю историю и связана не только с информационными атаками, но и с практикуемыми в течение десятилетий, со времен применения аналоговых систем, методами воровства энергоресурсов при помощи перекоммутаций, несанкционированных подключений, взлома устройств, воздействия на них электрическими полями, разрушения измерительных цепей, включения обходных контуров энергоснабжения и т.п. В этой связи в электроэнергетике давно наработаны практики физической защиты приборов, каналов подключения и коммутации, детектирования нарушений и реагирования на нарушения. Весь этот арсенал мер защиты физических устройств полностью применим к цифровым системам;

- цифровые системы, дополнительно к описанным методам защиты, добавляют существенно большую информативность сведений о практикуемых и даже подготавливаемых атаках и новые методы реагирования;

- процесс вскрытия защищенного корпуса устройства представляющего собой, по существу, периметр контролируемой зоны для применения ПУ, УСПД, СКЗИ ПУ и УСПД, трудоемок, требует применения инструментальных средств, выполняется в течение достаточно длительного времени, оставляет следы взлома и по всем перечисленным причинам связан с рисками обнаружения взломщика - как средствами информационных систем, так и средствами физической защиты приборов и устройств, внешними средствами охраны (оборудование допуска в подъезды, системы видеонаблюдения и т.п.) и непосредственно гражданами, потребителями электроэнергии, не заинтересованными в нарушениях процесса их электроснабжения;

- более того важно, что массовая реализация физических атак, описанных выше, не масштабируема; для того, чтобы реализовать или подготовить реализацию такой атаки, требуется массово применяемый человеческий ресурс, а для подготовки атаки на тысячи энергообъектов требуются недели и месяцы конспиративной работы подготовленных злоумышленников; сценарий такой "физической" инфраструктурной атаки подобен одновременной организации сотен или тысяч военных диверсий и непосилен даже для высокоорганизованных групп нарушителей.

Напротив, компрометация массового парка ПУ и УСПД методами сетевого доступа, накопление из компрометированных устройств бот-сети, нацеленной на массовую инфраструктурную атаку, представляется не только реалистическим технически, но и соответствует практике подготовки и осуществления современных DOS- и DDOS-атак.

Таким образом, практически единственным методом противодействия практически единственной атаке на ИСУЭ, имеющей катастрофически тяжелые последствия, является обеспечение надежной сетевой защиты ПУ и УСПД при помощи средств криптографической защиты.

5 Важно отметить, что действенной мерой противодействия инфраструктурным атакам, полностью исключающей зависимость такой атаки от состояния информационной безопасности ПУ и УСПД, является вывод криптографических ключей, разрешающих управление энергопотреблением, полностью за пределы для ПУ и УСПД. Эта цель может быть достигнута тем, что каждая команда управления энергопотреблением должна быть снабжена меткой времени и электронной подписью ИВК, сформировавшего данную команду. Команда подлежит исполнению в ПУ или УСПД только в том случае, если время исполнения команды соответствует текущему системному времени ИСУЭ плюс-минус короткий интервал допуска, а электронная подпись ИВК успешно проверена. Применение этой меры безопасности полностью независимо от всех видов атак, выполняемых на ПУ и УСПД, поскольку закрытый ключ электронной подписи ИВК содержится в доверенных серверах ИСУЭ и недостижим для нарушителя, выполняющего атаку на ПУ и УСПД.

6 Суммируя сказанное, для ПУ, УСПД, СКЗИ ПУ и УСПД, можно предложить следующий необходимый и достаточный состав мер (требований) информационной безопасности:

а) для защиты взаимодействий между ИВК и ПУ, ИВК и УСПД должны применяться средства криптографической защиты, обеспечивающие взаимную аутентификацию объектов взаимодействия, конфиденциальность и целостность данных, а также целостность потока сообщений, включая защиту от атаки повторной передачи сообщения. Для достижения целей безопасности ИСУЭ в ПУ и УСПД достаточно применения СКЗИ класса КС1, в то время, как в доверенных серверах ИСУЭ и в ИВК, в силу большого масштаба системы и критически важных задач управления ИСУЭ, необходимо применять СКЗИ класса не ниже КС3.

Выбор класса СКЗИ КС1 для УСПД и ПУ, снабженных СКЗИ, обоснован тем, что и в базовой модели угроз безопасности информации интеллектуальной системы учета электрической энергии [3], и в анализе угроз информационной безопасности УСПД и ПУ, снабженных СКЗИ, на стадии их эксплуатации актуальными признаются угрозы со стороны внешнего нарушителя, осуществляемые методами сетевого доступа. Угрозы со стороны внешнего нарушителя, осуществляемые методами физического воздействия, по результатам анализа признаются неактуальными в силу того, что от основных факторов этих угроз (вскрытие корпуса прибора, модернизация ПО, компрометация ключей, навязывание команды управления) принят комплекс надежных мер защиты (применение датчиков вскрытия корпуса, уничтожение криптографических ключей, короткий срок эксплуатации ключей, отсутствие внутри атакуемого прибора криптографического ключа, ответственного за защиту команды управления, проверка электронной подписи ИВК при исполнении команд управления энергопотреблением). Защита же от угроз со стороны внутренних нарушителей, выполняющих операции производства, ввода в эксплуатацию (регистрации) и ремонта УСПД и ПУ, снабженных СКЗИ, должна обеспечиваться при помощи соответствующих автоматизированных рабочих мест, снабженных СКЗИ класса не ниже КС3;

б) для достижения целей автономной эксплуатации ПУ и УСПД в течение назначенного срока эксплуатации не представляется возможным создание криптографических ключей со сроком жизни равным назначенному сроку эксплуатации ПУ и УСПД. Это связано с фундаментальными причинами, по которым сертификат на СКЗИ выдается на срок не более трех лет, что намного меньше назначенного срока эксплуатации ПУ и УСПД. Ограничение срока действия сертификата связано с тем, что в динамично изменяющемся мире информационных технологий никто не может прогнозировать срок сохранения стойкости средств защиты на период, превышающий срок действия сертификата СКЗИ. В этих условиях представляется равно необоснованным и предположение о том, что СКЗИ любого класса, соответствующее любому набору требований обеспечит сохранность криптографических ключей в течение срока, превышающего срок действия сертификата СКЗИ, а продление срока действия сертификата СКЗИ на период назначенного срока эксплуатации ПУ и УСПД представляется на текущий момент методически не подготовленным и, следовательно, не обоснованным. В этих условиях нет альтернативы тому, чтобы в течение назначенного срока эксплуатации ПУ и УСПД выполнялись следующие согласованные меры безопасности:

1) выполнялась последовательно разработка и обновление сертифицированных программных СКЗИ, сменяющих друг друга по мере истечения срока действия сертификата СКЗИ;

2) процесс обновления версий СКЗИ в течение назначенного срока эксплуатации ПУ и УСПД (по уровням рисков информационной безопасности не менее критичный, чем смена ключевого материала) должен быть защищен при помощи СКЗИ, подлежит оценке влияния;

3) теми же средствами криптографической защиты должен быть обеспечен и процесс загрузки и обновления программного обеспечения, составляющего среду функционирования криптосредств ПУ и УСПД, подпадающую под оценку влияния;

4) формировался обновляемый связанный поток криптографических ключей, используемых для аутентификации участников защищенного взаимодействия; в качестве мер защиты данного потока ключей следует установить требования:

- максимального использования для генерации ключей аутентификации СКЗИ ПУ и УСПД энтропии, формируемой как в ПУ (УСПД), так и на доверенных серверах ИСУЭ;

- связывания криптографических ключей в потоке, невозможность навязать внешний ключ нарушителя в процессе обновления криптографических ключей аутентификации ПУ и УСПД;

- рационального (на уровне 1 - 3 месяцев) сокращения сроков применения криптографических ключей аутентификации;

- применения непосредственно для защиты трафика не ключей аутентификации, а диверсифицированных сеансовых ключей.

в) ПУ и УСПД должны быть снабжены надежными средствами физической защиты, позволяющими сформировать контролируемую зону применения СКЗИ внутри корпуса устройства или в монтажном шкафу, в котором размещается устройство. СКЗИ ПУ и УСПД должны быть прямо связаны с датчиками средств физической защиты ПУ и УСПД и должны обеспечивать уничтожение криптографических ключей в случае нарушения контролируемой зоны. ПУ и УСПД, прошедшие через процедуру уничтожения криптографических ключей, подлежат выводу из эксплуатации и регламентной ремонтной процедуре;

г) ПУ, УСПД, СКЗИ ПУ и УСПД должны производиться в защищенном технологическом процессе, гарантирующем целостность их структуры, уникальную идентификацию устройств, запись необходимых для подтверждения идентификации некриптографических (транспортных) секретов. СКЗИ ПУ и УСПД должны выпускаться с производства без записи в них криптографических ключей. Производство ПУ, УСПД, СКЗИ ПУ и УСПД должно выполняться с применением сертифицированных ФСБ России как СКЗИ КС3;

д) ввод в эксплуатацию ПУ и УСПД должен сопровождаться персонализацией встроенных СКЗИ и созданием необходимых криптографических ключей. Ввод в эксплуатацию ПУ, УСПД, СКЗИ ПУ и УСПД должен выполняться при помощи специализированных автоматизированных рабочих мест, сертифицированных ФСБ России как СКЗИ КС3;

е) процесс эксплуатации ПУ и УСПД должен выполняться в автономном режиме с применением комплекса мер информационной безопасности, описанной в настоящей Модели угроз. При этом важнейшей мерой защиты ПУ и УСПД и ИСУЭ в целом является комплекс описанных мер сетевой информационной безопасности, исключающих в совокупности перехват управления энергопотреблением со стороны ИВК, компрометацию массовых парков ПУ, УСПД, СКЗИ ПУ и УСПД и приводящих к возможности выполнения инфраструктурных атак, связанных с массовым отключением потребителей от энергоснабжения. Важнейшим фактором защиты от упомянутых сетевых угроз является обеспечение режима полного шифрования и аутентификации всех обменов между ИВК и ПУ и УСПД. Этот режим защиты представляется более строгим, чем предписанный действующим в настоящее время стандартом [10], однако не входит в противоречие с требованиями данного стандарта и, одновременно, практически исключает возможность реализации большинства сетевых атак, включая инфраструктурные атаки на массовые парки ПУ и УСПД, а также атаки на ИВК, в том числе при помощи вредоносного устройства, включенного в сеть ИСУЭ;

ж) процесс эксплуатации ПУ и УСПД подлежит непрерывному контролю событий информационной безопасности, как локальному, выполняемому изнутри контуров физической защиты (контролируемых зон) ПУ и УСПД, так и внешнему, со стороны ИВК;

и) в случаях выявления угроз и инцидентов безопасности, в первую очередь при нарушении мер физической защиты ПУ и УСПД, СКЗИ ПУ и УСПД должны выполнять уничтожение криптографических ключей, ПУ и УСПД должны выводиться из эксплуатации и передаваться на регламентную ремонтную процедуру;

к) ремонтная процедура должна выполняться с ПУ и УСПД, СКЗИ которых не содержат криптографических ключей. Завершаться ремонтная процедура должна теми же мерами защиты, которыми завершается процесс производства ПУ и УСПД (см. перечисление г)). При выполнении ремонтных процедур должны использоваться СКЗИ аналогичные тем, которые используются при производстве ПУ, УСПД, СКЗИ ПУ и УСПД. По завершении ремонтной процедуры СКЗИ ПУ и УСПД не должны иметь криптографических ключей и при послеремонтном вводе в эксплуатацию должны пройти штатную регламентную процедуру, описанную в перечислении д).

Выполнение вышеперечисленных мер информационной безопасности должно обеспечить как выполнение эксплуатационных требований, устанавливаемых Министерством энергетики Российской Федерации, так и владельца ИСУЭ, при надлежащей, адекватной уровню угроз, степени защиты ИСУЭ и при разумном уровне затрат на достижение требуемого уровня информационной безопасности системы.