На протяжении последних нескольких лет, после первого появления вируса Stuxnet, кибербезопасность является одной из ведущих тем для обсуждения. Первоначально считалось, что обеспечение безопасности на «верхнем уровне» организации является достаточным, но появление вируса Stuxnet и других подобных вирусов полностью изменили представление о безопасности и выдвинули на первый план уязвимость в архитектуре автоматизированных систем, чему ранее не уделялось достаточного внимания.
Крис Эванс, менеджер по маркетингу Mitsubishi Electric Europe B.V., подразделение промышленной автоматизации, офис в Великобритании объясняет:
Промышленные системы автоматизации часто работают вне компетенции ИТ отделов. Поэтому инженеры стали пересматривать свои меры кибербезопасности. Мы представили себе мир, где питьевая вода стала загрязненной или ее поставки прекращены, электростанции закрыты, а автомобильное, железнодорожное и воздушное сообщение нарушено. И индустриальный мир осознал, что системы управления потенциально уязвимыми. Зачастую это происходит из-за устаревших или плохо обслуживаемых операционных систем, использования незащищенных CD-дисков и портов USB. Не требуется много воображения, чтобы предположить, что системы управления становятся наиболее вероятной целью кибератак.
Кибербезопасность - это гонка вооружений для эскалации возможностей, поэтому «защитники» уязвимых систем управления должны увидеть кибербезопасность скорее, «как путешествие, а не как «пункт назначения», постоянно переоценивая ситуацию и внедряя новые системы защиты, когда это необходимо. Все это происходит на фоне развития технологий, что означает, что системы управления становятся больше, сложнее, более распространенными и открытыми.
Большинство крупных систем управления имеют много потенциальных точек для несанкционированного доступа. Поэтому уровни защиты должны быть встроены в систему, как в сети, так и на аппаратном и программном уровнях.
Например, будущие ПЛК (программируемые логические контроллеры) будет включать в себя несколько встроенных функций, таких как ключи безопасности оборудования и многоуровневый пароль.
Каждый ПЛК будет способен аутентифицировать аппаратный ключ защиты, чтобы предотвратить открытие и редактирование программы с несанкционированных персональных компьютеров, которые не были зарегистрированы. Кроме того, программы будут записаны так, что они не смогут быть выполнены с помощью ПЛК, которые не имеют зарегистрированного ключа безопасности. Таким образом, целостность системы и интеллектуальная собственность будут защищены. Кроме того, для регистрации IP-адресов устройств, утвержденных для доступа к каждому ПЛК, может быть использован IP-фильтр. Таким образом, несанкционированный доступ, будь то операционная деятельность, взлом или внедрение вредоносных программ, станет намного сложнее.
Несмотря на то, что конечные пользователи хотят максимальной безопасности, они также продолжают настаивать на простоте эксплуатации. Некоторые из автоматических мер безопасности, которые являются необязательными, существенно усложняют работу пользователей. Поэтому должна быть принята целостная концепция безопасности, учитывающая все аспекты работы. Например, для упрощения операционной деятельности меры безопасности могут быть упрощены на некоторых уровнях системы, однако при этом должны быть оценены риски и приняты меры для усиления контроля на других уровнях системы. Как и все, связанное с кибербезопасностью, внимание должно быть сосредоточено на возможных рисках от несанкционированного проникновения в систему и сложности мер безопасности, и операционные системы необходимо разрабатывать с учетом этих важных критериев.
Вероятно, неизменным аспектом человеческой натуры, остается то, что некоторые люди всегда будут искать точки несанкционированного доступа к системам управления. Поэтому инженеры должны создавать меры безопасности в своих продуктах и системах и признать, что это преодолимые препятствия, а не неприступные барьеры, и меры безопасности и системы необходимо постоянно обновлять и дорабатывать.