Технология обеспечения кибербезопасности от деструктивного воздействия на объекты критической информационной инфраструктуры

На сегодняшний день цифровые технологии активно развиваются и используются в современном обществе. Большинство новых технологий возникло в результате четвертой промышленной революции, которая позволила расширить информационные системы и автоматизированные системы управления производством интеллектуальными подсистемами принятия решений. IT-решения (информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети) в сфере здравоохранения, науки, транспорта, энергетики, атомной энергии, горнодобывающей, металлургической и химической промышленности и ряда других отраслей относятся государством к объектам критической информационной инфраструктуры (КИИ). Для таких объектов причинение деструктивных воздействий, в том числе, проведение компьютерных атак может повлечь существенный вред как самому объекту, так и государству, здоровью и жизни его граждан. Объекты КИИ, построенные с учетом новых цифровых технологий, могут включать в себя следующие ключевые компоненты: «Интернет вещей», «Умный город», «Большие данные», «Умное производство», «Искусственный интеллект». Объектами КИИ могут выступать как типовые системы, включающие сеть предприятия, средства обработки персональных и других категорий данных и т. п., так и специализированные высокотехнологичные системы для организации взаимодействия между исполнительными механизмами и управляющими платами и системы, обеспечивающие взаимодействие между управляющими платами и операторам. Как раз для защиты таких специализированных систем требуются новые решения, предполагающие высокий уровень автономности и применение новых технологий и стандартов. Новые решения необходимы не только потому, что для реализации сетей между исполнительными механизмами и платами используются новые протоколы связи и новое программное обеспечение, но еще и потому, что данные механизмы действуют в условиях ограниченности ресурсов. При этом количество инцидентов, связанных с нарушением информационной безопасности объектов КИИ с каждым годом, растёт. По данным Positive Technologies «По сравнению с 2017 годом количество новых уязвимостей в компонентах АСУ ТП выросло на 30%: на момент подготовки исследования опубликована полная информация о 243 уязвимостях, и еще 14 находятся на стадии анализа». Современные технологии предназначены для минимизации присутствия человека на производстве, любая рутинная и монотонная работа автоматизируется. При этом если обратить внимание на область информационной безопасности, то зачастую, для обеспечения необходимого уровня защиты объекта КИИ нужен целый штат специалистов разного уровня. На сегодняшний день решения в области информационной безопасности выглядят громоздко, иерархично и сложны для понимания. Так, для поддержания центра обеспечения компьютерной безопасности небольшого предприятия требуется от восьми инженеров по информационной безопасности для обработки поступающей информации об инцидентах. Это является одной из причин того, что организации склонны экономить на безопасности. Научная значимость разрабатываемой технологии защиты заключается в том, что она должна позволить объекту КИИ и его компонентам оценивать степень опасности угрозы информационной безопасности, обнаруживать инциденты информационной безопасности и составлять план выхода из инцидента в автономном режиме. Научная новизна: 1. Метод пассивного и активного анализа инфраструктуры, позволявший повысить скорость и точность анализа структурно-функциональных характеристик и расширить функционал существующих решений за счет предоставления возможности анализа служб и протоколов специфичных для объекта КИИ. Научная новизна метода заключается в обеспечении возможности распознавания новых проколов и стандартов связи благодаря анализу полученных структур данных и обнаружению типовых форматов данных. 2. Формализованная методика оценки рисков и угроз информационной безопасности для информационных систем КИИ. На сегодняшний день существуют методики оценки рисков и актуальных угроз, как в России, так и за рубежном. Для повышения точности оценки предлагается разработать дополнительные наборы факторов, влияющие на принятие решений при оценке вероятности и опасности реализации угрозы. Далее методы на основе нечеткой логики будут применены для автоматизации процесса принятия решений. Научной новизной будет обладать также каталог угроз информационной безопасности для объектов КИИ. 3. Интеллектуальная система анализа и мониторинга структурно-функциональных характеристик объекта КИИ, формирующая в автоматическом режиме технический паспорт объекта, где описана сетевая топология системы, информационные потоки и приведена архитектура сети. Информация для анализа структурно-функциональных характеристик будет поступать в виде наборов векторов, которые представляют их четкое описание. 4. Интеллектуальная экспертная система минимизации рисков и выбора наиболее эффективных контрмер для повышения защищённости и отказоустойчивости объекта КИИ, обеспечивающая снижение возможных ошибок при выборе плана реагирования на инцидент, уменьшающая влияние человеческого фактора при решении данных задач, обеспечивающая снижение времени, трудозатрат необходимых для оценки и минимизации рисков кибербезопасности. Разработка данной интеллектуальной экспертной системы позволит автоматизировать процесс определения эффективных рекомендаций по безопасности для пользователя информационной системы КИИ, что приведет к снижению количества ошибок, допускаемых экспертами при выполнении данных задач, снизит субъективность данного процесса, а также снизит количество времени, затрачиваемое на разработку защищенной информационной системы. 5. Метод обнаружения аномального поведения, на основе принципа рефлексии для анализа кибер-физических параметров компонентов объекта КИИ, который позволит системе автономно обнаруживать признаки воздействия, что приведет к повышению защищенности узла от атак при низких затратах вычислительных ресурсов. Данный метод позволит узлу локально обнаруживать критические изменения в анализируемых параметрах по отношению к собственному поведению на протяжении разных временных интервалов. По аналогии с работой человеческого организма, когда замедление пульса может наблюдаться в результате сна, а может быть связано с болезнью и человеческий организм распознает данные состояния, кибер-физическая система должна понимать природу того или иного события и реагировать соответствующим образом. Для этого необходимо определить набор параметров и классифицировать их изменение и степень их изменения с течением времени в зависимости от происходящих событий. 6. Метод глубокого анализа трафика для объекта КИИ, позволяющий на уровне сети выявлять аномальное поведение, что приводит к повышению скорости обнаружения атаки при низких затратах энергетических и вычислительных ресурсов. Данный метод учитывает особенности кибер-физических систем и будет эффективен именно для объектов КИИ. 7. Модель организации базы знаний в области информационной безопасности о кибер-угрозах и инцидентах информационной безопасности, связанных с использованием интеллектуальных технологий, новых цифровых технологий на основе интеграции онтологических моделей представления знаний. 8. Метод установления доверенных отношений компонентов объекта КИИ, обеспечивающий защищенность от атак злоумышленника, направленных на подмену узлов сети и информационных сообщений за счет поддержания цепочек доверия.