Оглавление:
Всё более растёт риск кибератак на промышленное технологическое оборудование. Их последствия могут быть далеко идущими и очень серьезными, угрожая стратегическим ресурсам, таким как системы распределения энергии, коммуникации и транспортировка грузов. Они также могут создавать угрозу безопасности человека из-за потенциального воздействия опасных веществ и ситуаций.
Чтобы снизить риски связанные с такими угрозами, ведущие отраслевые компании предприняли усилия по разработке набора стандартов и технических спецификаций (ISA/IEC 62443), направленных на удовлетворение потребностей в безопасности систем промышленной автоматизации и управления (IACS), выполняющих эксплуатационные функции.
Для защиты операционных технологий от последствий кибератак разрабатываются стандарты, обуславливающие усиление и применение процедур безопасности и мер защиты.
Стандарт ISA/IEC 62443 разделен на 4 горизонтальные части, и наибольший интерес для производителей электроники представляет четвертая часть, озаглавленная «Компоненты». Основное внимание уделяется конкретным требованиям, связанным с безопасностью устройств и компонентов. Они включают как их техническую спецификацию, так и определяют процессы, используемые для управления на протяжении всего их жизненного цикла.
Уровни безопасности
Стандарт IEC 62443 также определяет 5 уровней безопасности:
- 0 – нет особых требований или защиты,
- 1 — защита от непреднамеренного или случайного неправильного использования,
- 2 — защита от преднамеренного злоупотребления простыми средствами, с небольшими техническими ресурсами, общими навыками и небольшой мотивацией,
- 3 – защита от преднамеренных злоупотреблений с помощью сложных технических средств, с умеренными техническими ресурсами, опытом МАКО и умеренной мотивацией,
- 4 – защита от умышленных злоупотреблений с использованием сложных технических средств и обширных ресурсов, специальных знаний МАКО и высокой мотивации.
В дополнение к перечисленным уровням безопасности стандарт также определяет 7 основных требований, которые в совокупности описываются термином CIA (конфиденциальность, целостность, доступность):
- FR1 – Управление идентификацией и аутентификацией (IAC),
- FR2 — Используемый контроль (UC),
- FR3 — целостность системы (System Integrity, SI),
- FR4 — конфиденциальность данных (Data Confidentiality, DC),
- FR5 — Ограниченный поток данных (RDF),
- FR6 — быстрое реагирование на события (Timely Response to Events, TRE),
- FR7 – Доступность ресурсов (RA).
Чтобы помочь выполнить эти требования, Microchip подготовила примечание по применению AN3983, которое, помимо объяснения ключевых моментов стандарта, включает таблицу, переводящую стандарт в требования к компонентам и показывающую как микросхемы безопасной аутентификации ATECC608 или TA100 могут действовать как технологический активатор, который помогает продукту производителя соответствовать требованиям стандарта.
Тенденции безопасности
В отрасли существует несколько общих тем безопасности. Ключевым вопросом, который надо реализовать в первую очередь, является безопасная загрузка. Мотивация заключается в необходимости убедиться что код, работающий на хосте, и загрузчик, являются доверенными. Для этого требуется чтобы подпись кода прошивки проверялась хост-микроконтроллером, чтоб запускался только определенный код. То же самое относится и к обновлениям.
В случае беспроводных обновлений программного обеспечения должен применяться тот же механизм, с использованием открытого и закрытого ключа для проверки цифровой подписи полученного кода, а затем, после проверки, разрешить обновление.
Следующее, что нужно сделать, это подтвердить связь. Можно доверять программному обеспечению, которое в данный момент работает в системе, но каждый из узлов (устройств) должен каким-то образом взаимодействовать с остальной частью системы и хостом. Это означает, что важно иметь возможность криптографически проверить источник сообщения.
Защищенный чип как элемент такой аутентификации здесь имеет решающее значение, поскольку он дает доступ к таким функциональным возможностям, как алгоритмы на основе AES для проверки источника сообщения CMAC (код аутентификации сообщения на основе шифрования) или HMAC (код аутентификации сообщения на основе хэша). Им требуются криптографические ключи, предоставляемые безопасным чипом. Это дает возможность отвечать только на сообщения с криптографически проверенным кодом аутентификации. Если хакер получит доступ к сети и начнет отправлять поддельные сообщения, другие узлы увидят что это не аутентифицированное сообщение и отклонят его. Более того, регистрируя неудачные попытки авторизации, главный хост в сети может принять меры и даже изолировать узел, с которого исходят подозрительные сообщения, или сигнализировать администратору о потенциальной проблеме безопасности.
Третьим важным аспектом является криптографическая проверка того, что указанная часть оборудования, например насос или привод, может работать в данной промышленной среде. Если исходный компонент выйдет из строя и будет заменен другим, то в защищенной сети появится неизвестный элемент. Хост в этой ситуации может попытаться запросить у этого насоса его сертификат X509 и, в свою очередь, может проверить подпись своего сертификата и убедиться, что он входит в утвержденный список таких продуктов OEM. Когда проверка положительна, хост может присоединиться к сети на основе ключей встроенных в защищенный чип, такой как ATECC608 или TA100. Это обеспечивает гибкость обслуживания системы и блокирует расширение при случайном или несовместимом оборудовании.
Встроенная безопасность
Общим знаменателем для всех методов обеспечения безопасности в промышленной сети является наличие в приложении доверенного хранилища для хранения сертификатов ключей и критических данных. Эту роль выполняет защищенный чип (secure IC). Второй шаг — реализовать описанные выше варианты использования, такие как безопасная загрузка, аутентификация связи или аутентификация аксессуаров и компонентов.
Последним шагом является обеспечение перехода продукта от разработки к производству. На данном этапе требуется безопасный процесс сохранения ключей в новых продуктах, блокирующий возможность ввода внешних ключей и сертификатов в защищенные чипы.
Процесс распространения и записи закрытых ключей на устройство должен быть безопасным и соответствовать существующим отраслевым стандартам. Наиболее популярным из них является стандарт общих критериев. Его соблюдение гарантирует, что производство осуществляется безопасным образом, и поэтому включает в себя физическую защиту территории производственного предприятия, в том числе ограничение доступа к физическим IT-ресурсам. Другие элементы защиты включают электронные барьеры, сетевую безопасность с точки зрения совместного использования ресурсов, контроля доступа, правил резервного копирования и хранения.
Ещё аспект — организационная безопасность — как передавать информацию, как управлять персоналом службы безопасности, как предоставлять им доступ, как управлять обслуживающим персоналом, который не участвует непосредственно в производственной деятельности.
Как это можно реализовать? Есть решения, позволяющие комплексно организовать безопасный процесс передачи, изменения и связывания конфиденциальной информации (данные, ключи, сертификаты). Он основан на инфраструктуре аппаратного модуля безопасности (HSM) и позволяет реализовать множество вариантов использования и генерировать пакет безопасного обмена данными, который шифруется и затем отправляется непосредственно в HSM.
Это решение обеспечивает поддержание полностью защищенного потока защищенной информации от системы HSM заказчика к защищенным микросхемам, предназначенным для установки в продукты. Данный процесс происходит на безопасных фабриках, проверенных независимыми лабораториями безопасности. Подготовленные чипы затем доставляются покупателю для установки в продукты, а процесс доставки определяется в соответствии с общими стандартными критериями, чтобы не допускать злоупотреблений, что также обеспечивает отслеживаемость по всей цепочке поставок.
В заключение можно сказать, что наиболее важным аспектом построения доверия является не только чип, но и его интеграция вместе с продуктом, закупочная логистика и цепочка поставок, что в конечном итоге позволяет производить и использовать безопасное устройство.
