[Статья: СЦБ] Кибербезопасность ОАО «РЖД». Опыт работы, достижения, неудачи, проблемы, задачи и перспективы

[Admin]

Кибербезопасность ОАО «РЖД». Опыт работы, достижения, неудачи, проблемы, задачи и перспективы

Матюхин В.Г.
Макаров Б.А.
Безродный Б.Ф.
Бакуркин Р.С.
Дубников Д.Г.
Ковалев П.С.
Любимова Л.В.

Ключевые слова:
кибербезопасность, микропроцессорные системы управления, программно-управляющие системы, киберзащищенность, импортозамещение

Кибербезопасность на железной дороге

Работа по оценке киберзащищенности программно-управляемых систем в подразделениях, дочерних и зависимых организациях ОАО «РЖД» началась по распоряжению ОАО «РЖД» от 28 сентября 2013 года № 2062р. В соответствии с этим распоряжением в АО «НИИАС» создан Центр кибербезопасности, как головная организация по оценке киберзащищенности объектов железнодорожного транспорта.

В дальнейшем, был организован Экспертный совет по кибербезопасности микропроцессорных систем управления ОАО «РЖД», который ранее последовательно возглавляли Заместители генерального директора - главные инженеры ОАО «РЖД» В.А. Гапанович, С.А. Кобзев. В настоящее время Экспертный совет возглавляет Заместитель генерального директора - главный инженер ОАО «РЖД» А.М. Храмцов. Кроме того, в АО «НИИАС» на регулярной основе проводится семинар «Актуальные проблемы кибербезопасности программно-управляемых систем и комплексов».

В первое время работа Центра кибербезопасности в значительной мере тормозилась из-за отсутствия нормативно-методических документов, регламентирующих деятельность по кибербезопасности микропроцессорных систем управления (МПСУ). Дело доходило до того, что поставщики и разработчики МПСУ отказывались от проведения исследований на киберзащищенность своих систем, ссылаясь на отсутствие необходимости такой проверки. Поэтому в 2013-2014 годах одним из основных направлений Центра кибербезопасности стала разработка нормативно-методических документов, регламентирующих различные аспекты и проблемы киберзащищенности МПСУ железнодорожного транспорта. В период с 2013 по 2017 годы утверждены и применяются 15 нормативно-методических документов, в том числе и СТО.
В последнее время положение с нормативной документацией по кибербезопасности на государственном уровне изменилось к лучшему. Значительно расширилась нормативная база ФСТЭК России (например, появились приказы №31 от 14.03.2014, №17 от 11.02.2013 и др.), опубликованы и вступили в действие государственные стандарты по кибербезопасности (ГОСТ Р 56205-2014, ГОСТ Р МЭК 62443-21-2015, ГОСТ Р 56498-2015 и др.), а также стандарты, определяющие требования к безопасности программного обеспечения.
С развитием нормативной базы, а также полученным уникальным опытом работы, определились основные направления работ Центра кибербезопасности:

• 1) разработка новой и совершенствование действующей нормативно-методической базы ОАО «РЖД» в области кибербезопасности микропроцессорных систем управления (МПСУ);
• 2) проведение работ по исследованию киберзащищенности отдельных видов МПСУ, включая тесты на проникновение (пен-тесты);
• 3) разработка организационных, программно-аппаратных мер и средств повышения кибербезопасности МПСУ;
• 4) экспресс-аудит программно-управляемых МПСУ;
• 5) участие в реализации программ импортозамещения (импорто-независимости) и локализации производства;
• 6) участие в запуске и работе Московского Центрального Кольца.
• 7) реверс-инжиниринг МПСУ.

Для выполнения поставленных задач в Центре кибербезопасноти работают высококвалифицированные сотрудники, имеющие высшее образование, ученые степени и звания в области защиты информации или смежных областях.
За период 2014 - 2019 гг., экспертами Центра было подготовлено большое число выступлений на научно-технических конференциях, опубликовано более 50 статей в российских и зарубежных средствах массовой информации.

Оценка киберзащищенности МПСУ

Для качественного проведения исследований киберзащищенности микропроцессорных систем управления поставщики или разработчики предъявляют ряд необходимых документов:
1) доказательство безопасности;
2) сертификат отсутствия НДВ в ПО или, в зависимости от конкретного случая, могут быть представлены другие имеющиеся сертификаты уполномоченных в области защиты информации государственных органов (ФСТЭК России, ФСБ, Министерство обороны);
3) полный комплект документации (конструкторской, эксплуатационной и т.д.);
4) программное обеспечение (исполняемая программа, исходные коды, архитектура ПО - блок схема);
5) действующий макет проверяемой системы с датчиками и исполнительными устройствами (или их имитаторами), либо проверка проводится на реальном объекте;
6) классификацию своей системы по требованиям защищенности и значимости информации (распоряжение ОАО «РЖД» от 03 марта 2015 года №543/р, и распоряжение ОАО РЖД от 07 февраля 2019 года №220/р).
Дополнительно могут быть запрошены другие необходимые для проведения исследований документы или программные средства (например, компиляторы и другие специфические для конкретной системы средства).
Важным этапом исследований является первичный анализ программного обеспечения, включающей в себя в том числе инвентаризацию программных компонентов. В результате данного анализа обычно обнаруживаются следующие недостатки:
1. Используется ПО, не имеющее сертификата безопасности Госрегу-ляторов (ФСТЭК, ФСБ, МО).
2. Используется ПО, с просроченным сертификатом безопасности.
3. Используется устаревшее ПО, которое уже не сопровождается разработчиком (автором).
4. Используется нелицензионное ПО или отсутствуют юридически значимые доказательства легальности использования, эксплуатируемого системного и прикладного ПО.
5. Вносятся несанкционированные изменения в ПО после получения сертификата безопасности от Госрегулятора. Проблема Embedded версий ПО пока не решена не только в ОАО «РЖД», но и в других российских ведомствах.
В ходе исследований, для определения гипотетически-возможных направлений деструктивных кибератак (моделей кибератак) в общем виде используется структурная схема, приведенная на рисунке 1.

На схеме обозначены возможные направления кибертак на систему управления и связанные с ней объекты (датчики, каналы связи и т.д). К объектам также могут относится системы инженерного обеспечения - это дистанционно или программно-управляемые системы первичного и вторичного электропитания, шины заземления, системы вентиляции и термостабилизации, кондиционирования, автоматического пожаротушения, аварийного акустического оповещения, доступа персонала и аварийно-тревожной сигнализации, а также многое другое.
После проведения исследований на киберзащищенность в итоговом отчете указывается:

• 1. Перечень уязвимостей в схемотехнических решениях и архитектуре программного обеспечения МПСУ (в том числе НДВ и НСД);
• 2. Результаты тестов на проникновения;
• 3. Программа и сценарии возможных кибератак;
• 4. Влияние выявленных уязвимостей на функциональную безопасность;
• 5. Протоколы испытаний;
• 6. Рекомендации по устранению уязвимостей и необходимых мерах защиты и, в случае необходимости, применения дополнительных программно-аппаратной средств защиты.

В результате исследований заказчику (разработчику) и функциональному заказчику выдается экспертное заключение о киберзащищенности исследованной МПСУ.
Для эффективной координации взаимодействия между производителем и функциональным заказчиком (потребителем) МПСУ, при внедрении системы в инфраструктуру ОАО «РЖД» необходимо руководствоваться документами: «Регламент взаимодействия ОАО «РЖД» с разработчиками и поставщиками МПСУ», утвержденный распоряжением ОАО «РЖД» от 30 июня 2015 года №1639р и «Регламент взаимодействия структурных подразделений и функциональных филиалов ОАО «РЖД» с разработчиками и поставщиками МПСУ при оценке соответствия киберзащиты, порядок устранения выявленных несоответствий, а также сопровождения систем в части обеспечения киберзащищенности МПСУ на всех этапах жизненного цикла», утвержденный распоряжением ОАО «РЖД» от 11 января 2017 года № 134/р.

Классификация уязвимостей программно-управляемых систем ОАО «РЖД»

За период 2014-2020 годов, по результатам исследований киберзащищенности 40 различных МПСУ ОАО «РЖД» от 27 разработчиков-производителей, в том числе ООО «Сименс», ООО «Бомбардье Транс-портейшен (Сигнал)», ОАО «Элтеза», ОАО «Радиоавионика» и др., было обнаружено 247 уязвимостей. Выявленные уязвимости были классифицированы в зависимости от степени опасности и возможностей нарушителя. Из всех выявленных уязвимостей - 40 были определены как критические, которые могут быть реализованы со стороны внешнего нарушителя и оказывать влияние на безопасность движения.
Для защиты от выявленных кибератак сотрудники Центра кибербезопасности совместно с разработчиками двух программноуправляемых систем создали программно-аппаратные решения, устраняющие выявленные критические уязвимости. В частности, разработаны система защиты для МПЦ EBILock 950, версия R3(поставщик ООО «Бомбардье Транспортейшн (Сигнал)» г. Москва) и система защиты для Аппаратуры микропроцессорной телемеханики (АМТ) (поставщик Московский знергомашиностроительный завод (МЭЗ), г. Москва). Обе системы защиты успешно прошли опытную эксплуатацию и рекомендованы для массового внедрения.
Степень опасности уязвимостей определяется на основании документа «Правила анализа уязвимостей и угроз кибербезопасности микропроцессорных систем управления движения поездов, локомотивов и энергоснабжения и разработка базовых моделей угроз на основании результатов анализа», утвержденного ОАО «РЖД» 13 января 2016 года (далее - Документ).
В соответствии с данным Документом определяются 4 степени опасности уязвимости: низкая, средняя, высокая и критическая. Выбор степени опасности производится на основании базовой оценки CVSS (Common Vulnerability Scoring System).
Кроме этого, для идентификации степени опасности выявленных уязвимостей используется «Классификатор опасных отказов технических средств системы КАС АНТ», введенный в действие распоряжением ОАО «РЖД». от 04 февраля 2016 года №191р.
К классу критических уязвимостей можно отнести следующие несанкционированные деструктивные воздействия:

• - перевод стрелок под железнодорожным подвижным составом или при установленном маршруте;
• - ложный разрешающий сигнал светофора;
• - создание опасных маршрутов движения поездов с последующим боковым или лобовым столкновением, либо столкновение с впереди идущим или стоящим поездом и т.д.

К сожалению, в процессе проведения исследований часто приходится сталкиваться с фактами, когда выявленная уязвимость не может быть корректно классифицирована. Для устранения этого недостатка планируется разработать собственную методику классификации уязвимостей МПСУ ОАО «РЖД» в 2020 году.

При выполнении исследований по выявлению уязвимостей проверяемых программно-управляемых систем ОАО «РЖД» неукоснительно соблюдаются режимы секретности и конфиденциальности. В случае привлечения сторонних организаций (соисполнителей) обязательно ставится условие наличия у них лицензии для допуска к материалам, имеющим гриф секретности и наличие лицензии на право разработки программно-технических средств для защиты секретной информации.
Для проведения некоторых работ могут дополнительно привлекаться высококвалифицированные специалисты сторонних компаний, лидирующих на рынке кибербезопасности.
В процессе проведения работ за период 2014-2020 гг. в качестве соисполнителей привлекались следующие российские фирмы:

• 1. ФГУП «ЗащитаИнфоТранс» (г. Москва)
• 2. ООО «Новилаб Секьюрити» (НИЯУ МИФИ) (г. Москва)
• 3. ЗАО «ИБТранс» (г. Москва)
• 4. ЗАО «Позитивные Технологии» (Positive Technologies) (г. Москва)
• 5. ЗАО «НПО «Станкинформзащита» (г. Москва)
• 6. ЗАО «НПО «Эшелон» (г. Москва)
• 7. МОУ «Институт инженерной физики» (г. Серпухов)
• 8. Лаборатория Касперского (г. Москва)
• 9. Компания Digital Security (г. Санкт-Петербург)
• 10. Компания АСП Лабс (НИЯУ МИФИ). (г. Москва)

Основными критериями при выборе соисполнителей являются:

• ■ квалификация сотрудников соисполнителей;
• ■ качество работ;
• ■ оперативность выполнения работ;
• ■ цена услуг соисполнителя.

Привлечение организаций соисполнителей в обязательном порядке согласуется с производителями (поставщиками) проверяемых на киберзащищенность программно-управляемых систем.
4. Планы на развитие нормативно-методической базы
В 2020 году силами сотрудников Центра кибербезопасности запланирована разработка трех нормативно-методических документов.

• 1. В качестве дальнейших шагов для реального объединения усилий всех специалистов, обеспечивающих различные аспекты безопасности российских железных дорог, персонала ОАО «РЖД», примыкающей инфраструктуры и окружающей природной среды, в 2021 году предполагается разработать новый нормативно-методический документ «Паспорт комплексной транспортной безопасности» на все стационарные объекты инфраструктуры, железнодорожные транспортные и ремонтно-диагностические средства. В нем будут отражены вопросы информационной, функциональной, транспортной и кибербезопасности, а также физической безопасности и охраны объектов инфраструктуры, сведения о локализации производства, о процессе импортозамещения отечественными материалами, комплектующими изделиями и программным обеспечением. Вопросы практического взаимодействия и контроля (взаимоконтроля) всех причастных к проблемам безопасности структур ОАО «РЖД» также войдут в данный документ.
• Документ будет разработан не на принципах научно-технического предметного сепаратизма, а на принципах интеграции усилий всех структур, дочерних и зависимых обществ ОАО «РЖД», имеющих отношение к вопросам безопасности российского железнодорожного транспорта. Разработка и внедрение такого паспорта укладывается в рамки требований, изложенных в тексте Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ.
• 2. Планируется создание методики для классификации новых уязвимостей, выявленных сотрудниками Центра кибербезопасности в процессе исследований МПСУ ОАО «РЖД».
• 3. На 2020 год намечено выполнение НИОКР «Разработка специального методического обеспечения, а также инструментальных и программных средств для проверки на киберзащищенность МПСУ ОАО «РЖД». Данная работа позволит расширить спектр применяемых программно-аппаратных средств и методик проверки киберзащищенности исследуемых МПСУ, повысить эффективность и качество работ, выполняемых Центром кибербезопасности АО «НИИАС».

Также планируется проведение проверок на киберзащищенность 8 программно-управляемых систем, разработанных для эксплуатации в инфраструктуре ОАО «РЖД».
В заключение приведем слова, сказанные Президентом России В.В. Путиным на пленарном заседании Международного конгресса по кибербезопасности в Москве, 6 июня 2018 года: «Убеждён, их нейтрализация (кибератак) и в целом обеспечение кибербезопасности -это государственная задача, и в её решении необходимо объединять усилия правоохранительных органов, деловых кругов, общественных организаций и самих граждан».