Методи удосконалення кіберзахисту систем промислової автоматизації

Краснощок, Артем Олександрович
Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/6480
Title:	Методи удосконалення кіберзахисту систем промислової автоматизації
Authors:	Міценко, Сергій Анатолійович Краснощок, Артем Олександрович
Issue Date:	Jan-2025
Abstract:	В зв’язку з впровадженням в системи промислової автоматизації ОС загального призначення та загально-вживаних в комунікаційних системах технологій отримали переваги в зручності використання, стандартизації, сумісності та ще в багатьох областях. Проте, разом з перевагами, як зазвичай буває, перейшли багато недоліків, зокрема і вразливості відкритих систем (OSI, TCP/IP) до кібератак. Але необхідно вказати на той факт, що ціллю зловмисників в інформаційних мережа є в більшості випадків цінна інформація, то системи автоматизації стають ціллю з метою виводу їх з ладу. Що досить часто тягне за собою загрози високі небезпеки, аж до загрози життю людей. Мету роботи було досягнуто за рахунок виконання задач по аналізу профілів атак, оцінки вразливостей за фреймворком загальної системи оцінки вразливостей CVSS, використання підходу з поділом на типи вразливостей: політик та процедур безпеки системи, платформи та мереж згідно рекомендації ISO. Запропоновано удосконалення кіберзахисту систем промислової автоматизації за рахунок посилення його там, де згідно з оцінкою вразливостей є найбільш слабкі місця, це зокрема процедури безпеки на основі політики, планування аварійного відновлення, оновлення ПЗ для вбудованих систем, удосконалення політики паролів та навчання персоналу. Для удосконалення кіберзахисту використані методи створення плану безпеки, розділення мереж, визначення захисного периметру, сегментація мережі, посилення захищеності кінцевих пристроїв, організація моніторингу мережі.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/6480
Appears in Collections:	174 Автоматизація, комп'ютерно-інтегровані технології та робототехніка (Автоматизація та комп'ютерно-інтегровані системи та компоненти)
Files in This Item:
File	Description	Size	Format
М_174_2024_Краснощок.pdf Restricted Access		1.22 MB	Adobe PDF	View/Open Request a copy
Show full item record
Extracted text
ІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ  
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ 
КАФЕДРА РОБОТОТЕХНІКИ ТА СПЕЦІАЛІЗОВАНИХ КОМП’ЮТЕРНИХ 
СИСТЕМ 
 
 
 
ПОЯСНЮВАЛЬНА ЗАПИСКА 
до кваліфікаційної роботи  
освітнього ступеня «магістр» 
 
на тему: «Методи удосконалення кіберзахисту систем 
промислової автоматизації» 
 
 
 Виконав: студент 2 курсу, групи МАКІТ-2309 
спеціальності 174 Автоматизація, комп'ютерно-
інтегровані технології та робототехніка 
(освітня програма – Автоматизація та 
комп'ютерно-інтегровані системи та компоненти) 
Артем КРАСНОЩОК 
 
 Керівник  
к.т.н., доцент Сергій МІЦЕНКО 
  
 Рецензент 
к.т.н., доцент кафедри КІ та ІТ, ЧДБК 
Сергій БУРМІСТРОВ 
 
 
 
 
 
 
 
Черкаси 2024 року 
 
ЗМІСТ 
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ ............................................. 3 
ВСТУП .............................................................................................................................. 4 
 АНАЛІЗ АТАК НА СИСТЕМИ ПРОМИСЛОВОЇ АВТОМАТИЗАЦІЇ ................. 7 
1.1 Профіль кібератак на системи промислового керування ........................... 7 
1.2 Аналіз цілей для атак на системи автоматизації .......................................... 8 
1.3 Профілі атак на системи автоматизації ...................................................... 13 
1.4 Методи атак на системи промислової автоматизації ................................ 19 
 ОЦІНКА ВРАЗЛИВОСТІ СИСТЕМ ПРОМИСЛОВОЇ АВТОМАТИЗАЦІЇ ....... 26 
2.1 Типи вразливостей ........................................................................................ 26 
2.2 Оцінка вразливостей ..................................................................................... 29 
2.2.1 Вразливості системної політики і процедур безпеки ......................... 30 
2.2.2 Вразливості платформи ......................................................................... 34 
2.2.3 Вразливості мереж ................................................................................. 37 
 МЕТОДИ УДОСКОНАЛЕННЯ КІБЕРЗАХИСТУ ................................................. 41 
3.1 План безпеки .................................................................................................. 43 
3.2 Розділення мереж .......................................................................................... 45 
3.3 Визначення захисного периметру ............................................................... 47 
3.4 Сегментація мережі ....................................................................................... 53 
3.5 Посилення захищеності пристроїв .............................................................. 57 
3.6 Моніторинг мережі ....................................................................................... 60 
ВИСНОВКИ ................................................................................................................... 63 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..................................................................... 64 
 
 
 
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ 
 
OSI – модель взаємодії відкритих систем. 
ТСР/ІР – стек протоколів транспортного та мережного рівня. 
DMZ – демілітаризована зона. 
SMTP – простий протокол передачі пошти. 
URL – уніфікований локатор ресурсу. 
СПА – системи промислової автоматизації. 
IoT – інтернет речей. 
WLAN – бездротова локальна мережа. 
RTU – термінал віддаленого доступу. 
VLAN – віртуальна локальна мережа. 
ДБЖ – джерело безперебійного живлення. 
ЛМІ – людино-машинний інтерфейс. 
 
 
 
 
ВСТУП 
 
Системи промислового керування протягом багатьох десятиліть надійно 
увійшли в практику побудови виробничих потужностей. Раніше системи керування 
в своїй основній масі розроблялися на основі запатентованих технологій, які 
ізолювали системи від зовнішнього світу, і, відповідно, кібербезпека не була 
пріоритетом. Проте сьогодні, щоб знизити витрати та підвищити продуктивність, 
системи керування переходять до відкритих систем з використанням стандартних 
технологій, таких як загальноприйняті користувацькі операційні системи та мережі 
типу Ethernet на основі протоколів TCP/IP. Стандарт Ethernet надає нові можливості 
в автоматизації, які були недосяжні при використанні застарілих мереж. Вона 
дозволяє: інтегрувати програми автоматизації, вбудовувати WEB-сервери в 
промислову систему, забезпечувати бездротовий зв’язок на основі точок доступу і 
корпоративного керування, організовувати віддалений доступ для налаштування як 
окремого обладнання так і цілих систем, обслуговувати автоматизовані системи, 
здійснювати розподілену обробку, забезпечувати миттєвий доступ до інформації з 
бізнес-процесів, інвентаризації, виробництва, доставки та придбання тощо. 
Звичайно це не вичерпний перелік розширених можливостей [1]. 
З іншого боку, при використанні стандартних технологій, таких як Ethernet, 
системи управління вразливі до кібератак як ззовні, так і зсередини мережі системи 
управління підприємства. Особливо на даному етапі, коли в системи автоматизації 
впроваджується промисловий Інтернет речей [2].  
Всі ці наведені аспекти наводять на думку, що організація комплексної 
системи кібербезпеки для промислової автоматизації не тільки необхідна, але і 
нагально обов'язкова, особливо для об’єктів критичної інфраструктури. 
Загалом, розгортання системи безпеки для промислової автоматизації може 
стикатися з деякими проблемами, наприклад: фізичні та логічні кордони мережі 
можуть змінюватися, особливо в сучасних реаліях гібридно-хмарної структури, 
системи можуть бути встановлені на величезних географічних регіонах із кількома 
 
сайтами, реалізація безпеки може несприятливо позначитися на процесі керування. 
Крім того, інтеграція заходів безпеки може призвести до додаткових затримок у 
передачі даних та ускладнити роботу з системами реального часу, які вимагають 
миттєвої реакції. Важливо враховувати ризик людського фактору, адже персонал 
повинен мати відповідні навички для роботи з новими системами безпеки. 
Складність підтримки оновлень безпеки та сумісності різних технологічних 
компонентів також може стати суттєвою перешкодою в управлінні та розвитку 
автоматизованих систем [3]. 
Всі ці виклики в цілому дають глибоке розуміння того, що дотримання 
збалансованості при впровадженні заходів із кібербезпеки систем промислової 
автоматизації, врахування всіх співвідношень, ризиків та проблем ставить досить 
непросту, але актуальну задачу перед розробниками. 
Метою кваліфікаційної роботи є удосконалення методів кіберзахисту 
систем промислової автоматизації на основі побудови профілю атак та оцінки 
вразливостей. 
Для досягнення мети поставлені такі завдання: 
• провести ґрунтовний аналіз атак на об’єкти промислової 
автоматизації; 
• побудувати оцінки вразливостей систем промислової автоматизації; 
• дослідити та впровадити методи удосконалення кіберзахисту систем 
промислової автоматизації; 
Об’єктом досліджень є процеси функціонування систем промислової 
автоматизації. 
Предметом досліджень є системи кіберзахисту промислової автоматизації. 
Методи досліджень. Теоретичні дослідження спираються на 
використання теорії інформаційної безпеки, стандартів інформаційної безпеки, 
побудови комплексних систем захисту інформації, методи реалізації кіберзахисту 
систем промислової автоматизації. 
 
 
Наукова новизна. 
• отримали подальший розвиток методи проектування захищених систем 
промислової автоматизації. 
Практичне значення одержаних результатів. 
Робота може бути використана для побудови комплексних систем захисту 
інформації на підприємства, де працюють автоматизовані лінії та комплекси, 
побудовані на базі мереж промислового стандарту Ethernet та MODBUS. 
Апробація результатів. 
Основні положення роботи викладені в тезах ІІІ Міжнародної науково-
практичної конференції «Інновації та перспективні шляхи розвитку інформаційних 
технологій», [Електронний ресурс] / упоряд.: Т.О. Прокопенко, О.І. Підкуйко. М-
во освіти і науки України, Черкас. держ. технол. ун-т. Черкаси: ЧДТУ, 2024. 
Робота містить 65 сторінок основного тексту, 9 таблиць та 26 рисунків.  
 
 АНАЛІЗ АТАК НА СИСТЕМИ ПРОМИСЛОВОЇ АВТОМАТИЗАЦІЇ 
 
1.1 Профіль кібератак на системи промислового керування 
 
Кібератаки на системи управління можуть надходити з різних джерел та мати 
різний характер, тривалість і складність. Проте основні види таких атак можна 
виділити такі: 
- Внутрішні (від співробітників, постачальників та підрядників): 
- випадкового характеру; 
- неналежна поведінка працівників/підрядників; 
- незадоволені співробітники/підрядники. 
- Зовнішні випадкові (ненаправлені): 
- пустощі підлітків; 
- розваги хакерів; 
- автори вірусів. 
- Зовнішні умисні (направлені): 
- кримінальні групи; 
- активісти; 
- терористи; 
- розвідувальні органи іноземних держав. 
Метою кібератак на системи управління є: 
- зрив виробничого процесу шляхом блокування або заміни інформаційних 
потоків; 
- пошкодження, блокування або вимкнення обладнання, що може призвести 
до зупинки виробництва, загрози життю людини або негативного впливу на 
навколишнє середовище; 
- використання маскування, надсилання операторам помилкової інформації, 
що стимулює їх до помилкових дій, які можуть мати негативні наслідки; 
 
- рекомендації змінити конфігурацію програмного забезпечення або 
налаштування обладнання для виведення системи з ладу; 
- передача системі шкідливих програм (програмне забезпечення, розроблене 
для проникнення в комп'ютер без свідомої згоди його власника); 
- зміна налаштувань систем безпеки, що потенційно може загрожувати 
життю людини. 
Більшість кібератак у системи управління надходять через інформаційні 
мережі підприємства, підключені до Інтернету (рисунок 1.1) [1, 4]. 
 
 
Рисунок 1.1 – Статистика кібератак по типу 
 
1.2 Аналіз цілей для атак на системи автоматизації 
 
1. Доступ через модем до ModBus RTU 
Більшість систем управління мають резервний модем для доступу на 
випадок, якщо основна мережа буде недоступна. Зловмисник повинен знати 
 
протокол ModBus RTU, щоб отримати доступ (рисунок 1.2). І хоча на даний час 
модемне з’єднання вже відходить в історію, є варіанти використання мобільних 
модемів для доступу до керуючих пристроїв [5]. 
 
модем 
 
Мережа 
підприємства 
Контролери 
Мережа 
системи 
керування 
 
Рисунок 1.2 – Доступ через модем до ModBus RTU 
 
У таблиці 1.1 наведено типовий сценарій атаки: 
 
Таблиця 1.1 – Типовий сценарій атаки через модем 
Фаза Опис 
1 Атака зловмисника починається з набору різних 
телефонних номерів по місту в пошуках модему, в тому 
числі і будь-якого розширення в телефонній системі 
компанії. 
2 Більшість систем RTU автоматично ідентифікують себе і 
повідомляють про виробника модему. 
3 Пристрої RTU, як правило, не використовують 
аутентифікацію. 
 
Фаза Опис 
4 У деяких випадках пароль RTU за замовчуванням не був 
змінений розробником системи під час налаштування. 
 
2. Постачальник послуг доступу 
Щоб мінімізувати час простою, постачальники послуг зв'язку часто надають 
доступ через VPN для віддаленого обслуговування. Порти після 
обслуговування часто залишаються відкритими, що дає зловмиснику доступ до 
ресурсів провайдера і дозволяє віддалено підключатися до мережі системи 
управління. Схема атаки показана на рисунку 1.3 [3]. 
 
VPN шлюз 
Мережа 
підприємства 
VPN шлюз Інтернет 
 
Контролери 
 
Мережа 
системи 
керування 
 
 
Рисунок 1.3 – Доступ через VPN 
 
3. Комунікаційне обладнання з IT-управлінням 
Як правило, відділи інформаційних технологій (IT) обмежують доступ 
користувачів систем управління до обладнання всередині об'єкта (рисунок 1.4). IT-
відділ бере на себе відповідальність за організацію віддалених комунікацій, які 
 
зазвичай необхідні та підтримуються фахівцями з продажу, чи менеджерами 
або ж реалізаторами. Це все призводить до можливого необачного ставлення 
до відкритих сесій, що дає змогу зловмиснику їх перехопити [6]. 
 
Корпоративний 
брандмауер 
Брандмауер 
системи Мережа 
керування підприємства 
Інтернет 
Контролери 
Мережа 
системи 
керування 
 
 
 
Рисунок 1.4 – Комунікаційне обладнання з IT-управлінням 
 
4. Корпоративний VPN 
Інженери, які фактично знаходяться в корпоративному офісі, 
використовують VPN для бізнес-центру для отримання доступу до керуючих 
системних мереж. Це дозволяє не використовувати загальні мережі (рисунок 1.5). 
Зловмисник чекає, поки звичайний користувач VPN підключиться до 
мережі системи управління, а потім перехоплює зв'язок, реалізуючи таким 
чином атаку «Людина посередині» [3, 7]. 
 
 
Корпоративний 
брандмауер 
Брандмауер Мережа 
системи 
підприємства 
керування 
 
 
 
Контролери Інтернет 
Мережа 
системи 
керування 
 
 
Рисунок 1.5 – Корпоративний VPN 
 
5. Підключення до баз даних 
Більшість систем управління використовують бази даних, бази даних 
конфігурації, а також різноманітні бази даних з історією в реальному часі 
(рисунок 1.6). 
Мережа 
підприємства 
 
Інтернет 
Контролери 
Мережа 
системи 
керування 
 
Сервер бази 
даних 
 
Рисунок 1.6 – Підключення до баз даних 
 
Якщо брандмауер або система безпеки в базі даних налаштовані 
неправильно, то досвідчений хакер може отримати доступ до бази даних з бізнес-
центру і згенерувати SQL-запити, взявши під контроль сервер баз даних і мережу 
системи управління. 
6. Комунікаційні утиліти для партнерських мереж 
Партнери та колеги мають доступ до інформації, яка знаходиться в 
комерційній або мережі системи управління (рисунок 1.7). За умови, що безпека 
системи збігається з безпекою їх найслабшої ланки [2, 9]. 
 
Мережа 
підприємства 
 
Інтернет 
Контролери 
 
Мережа 
системи 
керування 
 
 
Утиліти 
партнерів 
 
Рисунок 1.7 – Комунікаційні утиліти для партнерських мереж 
 
1.3 Профілі атак на системи автоматизації 
 
Залежно від мотивів і складності процесу, зловмисник може знати, а може 
і не знати подробиці виробничого процесу. Наприклад, якщо мотивом є просте 
порушення цього процесу, досить мати поверхневі знання процесу. Однак, якщо 
 
зловмисник хоче цілеспрямовано атакувати конкретний автоматизований 
процес, то йому необхідна точна інформація про роботу всієї системи. 
Двома найбільш вразливими процесами є збір інформації для бази даних та 
екрани людино-машинного інтерфейсу (ЛМІ)/SCADA. 
Назва бази даних зазвичай варіюється, але більшість користувачів 
використовують загальні принципи іменування записів, наприклад, за унікальним 
номером. Для того щоб провести атаку, зловмиснику необхідно з'ясувати, як 
генеруються числа. 
Отримання доступу до екранів людино-машинного інтерфейсу – 
найпростіший спосіб отримання цієї інформації. Екрани людино-машинного 
інтерфейсу дозволяють зловмиснику переводити цифри, передані по мережі, в 
значущу інформацію [10]. 
1. Атака на управління процесом. 
Після того, як зловмисник зібрав достатньо інформації про процес, 
наступним кроком буде спроба контролювати процес. Найпростіший спосіб для 
зловмисника отримати контроль над процесом – це підключитися до пристрою 
збору даних (рисунок 1.8), наприклад до PAC (комп'ютер автоматизованого 
керування процесами). 
ПК хакера 
Контролери 
Мережа системи 
керування 
 
 
Рисунок 1.8 – Атака на управління процесом 
 
Більшість шлюзів і серверів збору даних не мають аутентифікації в своїй 
базовій конфігурації і тому обробляють будь-які команди, які відправлено в 
правильному форматі. 
2. Експорт екранів людино-машинного інтерфейсу 
Ще один метод атаки полягає в експорті екранів ЛМІ до зловмисника, щоб 
він міг взяти систему під свій контроль. Досвідчені зловмисники можуть 
модифікувати екрани оператора, щоб приховати атаку (рисунок 1.9) [7, 11]. 
 
інтерфейс
 
МИ 
Контролери 
Мережа 
системи 
керування 
 
 
 
Рисунок 1.9 – Експорт екранів людино-машинного інтерфейсу 
 
3. Модифікація бази даних 
Зловмисник отримує доступ до бази даних і модифікує дані в ній, щоб 
порушити нормальне функціонування системи управління. Приклад такої 
атаки показано на рисунку 1.10. Отримавши контроль над цим сервером 
порушується конфіденційність усієї системи, що дозволяє зловмиснику 
фактично отримати доступ до будь-якої інформації в мережі. 
 
 
інтерфейс
 МИ 
 
Контролери 
 
Мережа 
системи 
керування 
 
Сервер бази 
даних 
застосунків 
 
Рисунок 1.10 – Модифікація бази даних 
 
4. Атака «Людина посередині» 
Атака «Людина посередині» – це ще один тип атаки (рисунок 1.11), коли 
зловмисник перехоплює повідомлення з одного комп'ютера (Host А), змінює 
дані перед тим, як вони будуть передані на комп'ютер-одержувач (Host В), а потім 
навпаки. Схоже, що обидва комп'ютери комунікують один з одним і не знають 
про зловмисника [2, 12]. 
 
 
Рисунок 1.11 – Принцип атаки «Людина посередині» 
 
 
Для того, щоб зловмиснику вдалося маніпулювати пакетами протоколів, 
він повинен знати ці протоколи. Атака «Людина посередині» дозволяє 
зловмиснику втрутитися в екрани оператора ЛМІ і отримати повний контроль над 
системою управління (рисунок 1.12). 
 
інтерфейс
 МИ 
 
Контролери  
Мережа 
системи 
керування 
 
 
Сервер бази 
даних 
застосунків 
  
Рисунок 1.12 – Реалізація атаки «Людина посередині» 
 
В таблиці 1.2 показано детальний опис кроків для реалізації атаки «Людина 
посередині [4, 13]: 
 
Таблиця 1.2 – Фази типової атаки «Людина посередині» 
Фаза Опис 
1 Вивчення протоколу передачі даних. 
2 За допомогою протоколу ARP зловмисник отримує доступ до мережі обміну 
інформацією шляхом сканування ARP-кешу, він отримує адреси контролерів і 
робочих станцій. 
3 Використовуючи заражений комп'ютер в мережі, зловмисник модифікує 
таблиці ARP на кожному комп'ютері і повідомляє їм, що вони повинні 
направити всі свої повідомлення на конкретну фізичну адресу (наприклад, адресу 
машини зловмисника). 
 
Фаза Опис 
4 Змінюючи таблиці ARP, зловмисник може вбудувати свою машину між двома 
абонентами та / або пристроями. 
5 «Людина посередині» працює, генеруючи фальшиві таблиці ARP на кожному 
вузлі (отруєні ARP). Ці таблиці ARP змушують вузли, що передають дані, 
використовувати фальшиві адреси фізичних пристроїв У мережі MAC 
використовуються адреси зловмисника як адресу одержувача. 
6 При успішній атаці "людина посередині" користувачі з обох сторін не знають, 
що дані в мережі передачі даних проходять різним маршрутом: через комп'ютер 
зловмисника. При цьому комп'ютер зловмисника повинен знаходитися в 
режимі синхронізації і не обробляти тайм-аути. 
7 Як тільки таблиці ARP на обох пристроях пошкоджені, пакети передаються в 
обох напрямках помилковим шляхом. Це гарантує, що всі існуючі додатки 
продовжать працювати очікувано. При цьому будь-який пакет може бути 
спотворений на машині зловмисника в будь-який момент для того, щоб 
передати певні команди на кожен комп'ютер. 
8 Після того, як зловмисник успішно включив свій комп'ютер в інформаційний 
потік, він отримує повний контроль над передачею даних і може здійснювати 
кілька видів атак. 
9 Як зазначалося раніше, достатньо однієї атаки, щоб завдати шкоди системі 
управління. У найпростішому вигляді перехоплені дані з системи управління 
або/ЛМІ можуть бути використані зловмисником для створення типу 
активності або управління процесом зловмисником для виробництва будь-
якого продукту від доброякісного до шкідливого. 
10 При проведенні атаки зловмисник намагається залишитися непоміченим і 
видаляє всі сліди атаки, де це можливо. Враховуючи, що кібератаки на 
системи управління є унікальними , необхідно враховувати, що їх успішна 
реалізація вимагає надання оператору інформації, яку він очікує побачити. 
11 Управління інформацією, яка є в розпорядженні оператора, необхідне для 
того, щоб приховати атаку. На етапі підготовки атаки збираються дані, що 
відображають нормальну роботу системи управління, ці дані можуть бути 
відтворені оператору в міру необхідності. Це гарантує, що консоль оператора 
відображає нормальний стан системи, і атака залишається непоміченою. 
12 Під час відтворення запису зловмисник може продовжувати руйнівну 
активність, відправляючи команди контролерам з метою викликати небажані 
події, а оператор не помітить справжнього стану системи. 
13 Ще одна атака, яка може здійснюватися типом «Людина посередині» - це 
передача помилкових повідомлень оператору з метою стимулювання 
помилкової команди управління з боку оператора. Цей режим можна 
використовувати, коли зловмиснику складно самостійно створити потрібну 
керуючу дію. Зловмисник просто відправляє інформацію про проблеми в 
панель управління, а коли оператор намагається вирішити проблему, він сам 
відправляє команди в систему управління і його дії призводять до небажаних 
подій. Зазвичай існує безліч параметрів, зміна яких може вплинути на  
функціонування системи. 
 
 
 
1.4 Методи атак на системи промислової автоматизації 
 
Підміна IP-адреси – це вид вторгнення, при якому зловмисник намагається 
замаскуватися під іншу систему, використовуючи її IP-адресу, з метою виконання 
зловмисних дій, таких як блокування сервісу або перехоплення даних («людина 
посередині»). Вона здійснюється шляхом маніпулювання IP-адресою. 
Протокол Інтернету (IP) є основним протоколом, який використовується для 
обміну даними через Інтернет. Дані мають IP-заголовок, що містить інформацію, 
необхідну для передачі даних від відправника до отримувача. 
Заголовок містить: тип IP-пакету, час життя (TTL), протягом якого пакет 
залишається активною в мережі, спеціальні прапори, які позначають особливі типи 
дейтаграм і способи їхнього обслуговування, наприклад, дозвіл на фрагментацію 
даних, адреси відправника й отримувача, інші поля. 
Отримувач пакета інформації може ідентифікувати відправника за його IP-
адресою. Проте протокол IP не перевіряє достовірність IP-адреси відправника. При 
підміні IP-адреси зловмисник підробляє пакет. Найчастіше створюється фальшива 
IP-адреса відправника [14]. 
Основні мотиви атаки: 
- Збір інформації про відкриті порти, роботу систем або застосунків на вузлах 
за їхньою відповідною реакцією. Наприклад, відповідь порту 80 може свідчити про 
те, що на вузлі працює веб-сервер. Використовуючи протокол емуляції термінала 
Telnet, зловмисник може переглянути банер і визначити версію та тип веб-сервера. 
Далі він може спробувати використати відомі вразливості цього типу веб-серверів.   
- Виявлення номера послідовності. Механізм TCP вимагає використання 
номера послідовності для кожного переданого байту та підтвердження від 
отримувача. Зловмисник надсилає кілька пакетів даних жертві, щоб розкрити 
алгоритм формування номера послідовності. Розкривши алгоритм, він намагається 
атакувати обрану жертву. 
 
- Отримання авторизованої сесії зв’язку шляхом моніторингу сеансу між 
двома вузлами та подальшого запуску трафіку, що виглядає як вихідний від одного 
з вузлів. У результаті таких дій зловмисник перехоплює сесію одного вузла та 
припиняє зв'язок між вузлами. Потім він продовжує подібний сеанс зв’язку з 
такими самими привілеями доступу до інших легальних вузлів. 
Атаки типу відмови в обслуговування (DoS) спрямовані на тимчасове або 
постійне унеможливлення доступу законних користувачів до сервісних 
комп’ютерних програм. 
Загальний метод нападу полягає в перевантаженні комп’ютера жертви 
зовнішніми запитами на встановлення зв’язку, що призводить до блокування 
відповідей або значного уповільнення роботи системи, роблячи її неефективною. 
Зловмисник досягає цього за допомогою: 
- надсилання великої кількості запитів з метою перевищення пропускної 
здатності мережі або обчислювальної потужності системи;   
- використання декількох пристроїв (у випадку розподіленої атаки DDoS) для 
створення масованого трафіку; 
- експлуатації вразливостей у програмному забезпеченні для створення 
необроблюваних або помилкових запитів; 
- підробки IP-адрес для ускладнення процесу відстеження джерела атаки. 
Найбільш поширені такі типи DDoS: 
• синхронна Flood атака TCP SYN (TCP SYN Flood); 
• Land attack; 
• ARP Spoofing - підміна ARP; 
• атака ICMP smurf; 
• атака UDP Flood; 
• атака Teardrop. 
Такі дії можуть серйозно вплинути на функціонування системи та доступ до 
неї користувачів [6, 15]. 
 
Синхронна атака TCP SYN – це форма атаки типу DoS (відмова в 
обслуговуванні), під час якої зловмисник надсилає послідовність запитів типу SYN 
до обраної системи. У процесі синхронної атаки TCP SYN клієнт намагається 
встановити TCP-з’єднання із сервером, і клієнт та сервер обмінюються 
інформацією у такій послідовності: клієнт запитує з'єднання, посилаючи 
повідомлення SYN (синхронізація) серверу, сервер підтверджує запит, посилаючи 
SYN-ACK клієнту, клієнт відповідає повідомленням ACK і з'єднання 
встановлюється. Цей процес називається трьохстороннім рукостисканням для 
встановленням сеансу зв'язку TCP (рисунок 1.13). 
 
 
Рисунок 1.13 – Трьохстороннє рукостискання ТСР/ІР 
 
Зловмисник генерує багато запитів на встановлення з’єднання, але зі свого 
боку не підтверджує його встановлення, створюючи безліч відкритих сокетів. 
Існує обмеження за наявними ресурсами. Щойно доступні ресурси 
закінчуються, всі інші запити втрачаються. Застарілі операційні системи більш 
уразливі, ніж сучасні операційні системи. У сучасних операційних системах 
управління ресурсами організовано краще, тому складніше досягти переповнення 
таблиць виділення ресурсів, але, незважаючи на це, вони все одно залишаються 
вразливими [7, 16]. 
 
У разі Land Attack у систему надсилається підроблений пакет TCP SYN, у 
якому IP-адреса і номер порту відправника ідентичні IP-адресі та номеру порту 
одержувача. Система-одержувач відповідає сама собі в нескінченному циклі доти, 
доки не буде перевищено значення тайм-ауту (рисунок 1.14). 
 
 
Рисунок 1.14 – Трьохстороннє рукостискання ТСР/ІР 
 
Протокол визначення адрес ARP (Address Resolution Protocol) – це протокол 
другого рівня, який забезпечує динамічне перетворення IP-адреси в апаратну MAC-
адресу, що зберігається в таблиці відповідності (кеш-пам'ять ARP). 
Переповнення ARP, також відоме, як отруєння ARP або ARP маршрутизація, 
при цьому надсилаються підроблені ARP-повідомлення в мережу (рисунок 1.15). 
Метою є асоціювання MAC-адреси атакуючого з іншою станцією 
(наприклад, адресою шлюзу) це досягається шляхом отруєння ARP кешу системи, 
щоб перехопити трафік. Виконується тоді, коли комп’ютери, які не знають адресу 
шлюзу за замовчуванням розсилають широкомовні повідомлення ARP-запиту всім 
вузлам мережі, і фактично зловмисник надасть відповідь зі своєю МАС-адресою, а 
не шлюзу [5, 16]. 
 
 
 
Рисунок 1.15 – Отруєння ARP кешу системи 
 
В атаці Smurf зловмисник підробляє IP-адресу станції призначення, 
відправляючи ICMP ехо-запит (ping) у широкомовному режимі посередницькою 
мережею (рисунок 1.16). 
 
 
Рисунок 1.16 – Атака ICMP Smurf  
 
 
У результаті цільовий вузол буде наповнений відповідями, при цьому 
ресурси будуть вичерпані, і законні користувачі не зможуть отримати доступ до 
сервера. Атаки ICMP Smurf аналогічні атакам ICMP Flood, однак Smurf-атаки 
використовує інші мережі для множення кількості запитів. 
Атака UDP Flood схожа на атаку ICMP flood. Різниця в тому, що 
використовуються UDP датаграми різних розмірів. Під час атаки UDP Flood 
зловмисник відправляє пакет UDP до випадкового порту в системі жертви. Коли 
система жертви отримує пакет UDP, вона перевіряє, чи є додатки, призначені на 
роботу з цим портом. Якщо ні, то система відправляє пакет ознаки відсутності 
з'єднання (ICMP Destination Unreachable) на недоступну підроблену IP-адресу. 
Якщо достатня кількість UDP пакетів успішно доставляються на достатню велику 
кількість портів жертви, система вийде з ладу [4, 17]. 
 
 
Рисунок 1.17 – Атака UDP Flood 
 
На основі аналізу профілів методів цих типів атак потрібно провести аналіз 
вразливостей систем промислової автоматизації, критичної інфраструктури та 
SCADA. 
Атака Teardrop є найбільш популярним методом фрагментованої атаки. Вона 
включає вставки неправдивої інформації зі зміщенням у фрагментовані пакети.  
 
 
Рисунок 1.18 – Атака UDP Flood 
 
В результаті, після складання з'являються порожні фрагменти або фрагменти, 
що перекриваються, які можуть привести систему до краху. 
Основною мотивацією для атаки Teardrop є намір заблокувати обробку або 
довести систему до аварії [2, 18]. 
  
 
 ОЦІНКА ВРАЗЛИВОСТІ СИСТЕМ ПРОМИСЛОВОЇ АВТОМАТИЗАЦІЇ 
 
Керування вразливостями – це безперервний, проактивний і часто 
автоматизований процес, який забезпечує захист комп’ютерних систем, мереж та 
корпоративних програм від кібератак і порушень безпеки даних. Тож це важлива 
частина загальної програми гарантування безпеки. Визначаючи, оцінюючи й 
ліквідуючи потенційні слабкі місця в системі безпеки, організації можуть запобігти 
атакам і, якщо вони все ж трапляться, мінімізувати збитки. 
Мета керування вразливостями полягає в тому, щоб знизити загальну 
схильність організації до ризиків, усуваючи якомога більше вразливостей. Це може 
бути складно, з огляду на кількість потенційних вразливостей і обмеженість 
ресурсів, доступних для виправлення. Керування вразливостями має бути 
безперервним процесом відстеження нових загроз і змін середовища [1, 19]. 
 
2.1 Типи вразливостей 
 
За проведеними дослідженнями можна привести 10 найбільш поширених 
вразливостей в системах управління [20, 21]: 
1. Історично неадекватна політика регулювання безпеки в системах 
управління: 
• відмінність підходів до побудови систем автоматизації з сучасними 
методами ІТ-безпеки; 
• представники IT-сфери часто не мають розуміння операційних потреб 
системи управління; 
• недостатня загальна обізнаність та розуміння ризиків, пов'язаних з 
поширення мережевих технологій в системах управління; 
• відсутність політики інформаційної безпеки систем управління; 
 
• відсутність аудиту та забезпечення дотримання вимог до інформаційної 
політики безпеки в системах управління; 
• відсутність адекватної оцінки ризиків. 
2. Неправильно спроектовані мережі систем управління, в яких відсутні 
механізми протидії атакам зловмисників: 
• мережну безпеку приладів систем управління раніше належним чином 
не враховували. Ці системи було розроблено з урахуванням високої надійності 
та готовності, але не безпеки; 
• системи управління не здатні забезпечити необхідний рівень безпеки 
роботи в Інтернет/Інтранет без значних інвестицій у технології та інженерію. 
3. Віддалений доступ до системи управління без належного контролю 
доступу: 
• неправильне використання модемів; 
• використання базового пароля або невикористання паролів взагалі; 
• реалізація незахищеного з'єднання мережі системи управління до 
корпоративної локальної обчислювальної мережі; 
• практика відкриття неконтрольованого доступу до мережі продавця 
системи для здійснення підтримки. 
4. Механізми системного адміністрування та програмне забезпечення, що 
використовуються в системах управління, не досліджуються або не 
обслуговуються досить ретельно: 
• неадекватне управління виправленнями (інсталяція оновлень) до 
програмного забезпечення; 
• недостатність ефективного оперативного противірусного захисту; 
• недоліки в управлінні обліковим записом; 
• недостатній контроль змін; 
• недоліки у веденні обліку використовуваного програмного забезпечення. 
 
5. Використання недостатньо захищеного бездротового зв'язку для 
керування: 
• застосування широко розповсюджених продуктів і пристроїв 
бездротового зв'язку масового споживання для управління мережними даними; 
• використання застарілих або таких, що погано зарекомендували себе, 
методів забезпечення безпеки та шифрування інформації. 
6. Використання неспеціалізованого каналу зв'язку для управління та 
контролю та/або нецільове використання пропускної здатності мережі зв'язку 
системи управління для цілей, не пов'язаних з управлінням: 
• системи диспетчерського контролю та збору даних на основі мережі 
Інтернет (SCADA); 
• підключення до Інтернету/Інтранет, що ініціюється з мереж системи 
управління; 
• спільне використання файлів; 
• засоби оперативної пересилання повідомлень. 
7. Неналежне використання інструментів для виявлення та попередження про 
аномальну або невідповідну активність: 
• неналежне використання систем виявлення вторгнень; 
• недостатнє управління системою мережевої безпеки; 
• використання недостатньо потужних систем запобігання вторгнень (IPS). 
8. Несанкціоновані або невідповідні програми або пристрої, підключені до 
мереж системи управління: 
• несанкціоноване встановлення додаткового програмного забезпечення на 
пристрої системи управління; 
• периферійні пристрої, що мають інтерфейси, відмінні від інтерфейсів 
системи керування, наприклад, багатофункціональні принтери; 
• незахищені веб-інтерфейси для пристроїв системи управління; 
• портативні комп'ютери; 
 
• карти пам'яті; 
• інші портативні пристрої (мобільні телефони, планшети). 
9. У системах управління відсутнє підтвердження достовірності команд і 
даних управління: 
• аутентифікація команд, що передаються по локальних мережах, не 
реалізована; 
• нові, недостатньо розвинені технології послідовної аутентифікації зв'язку 
з польовими пристроями; 
• недостатнє виконання заходів безпеки, що застосовуються на об'єкті, 
якщо контроль у системі здійснюється з пультів управління. 
10. Неправильна організація, управління або експлуатація інфраструктур 
підтримки в критичних ситуаціях: 
• використання неналежних джерел безперебійного живлення (ДБЖ) у 
системах або інших джерел живлення; 
• неправильна експлуатація або несправність в системах 
опалення/вентиляції/кондиціонування повітря (HVAC); 
• поганий опис в документації прикордонної інфраструктури; 
• недостатній захист телекомунікаційної інфраструктури; 
• неправильна експлуатація або несправність в системах пожежогасіння; 
• відсутність або недоліки плану відновлення; 
• недостатнє тестування або технічне обслуговування резервної 
інфраструктури. 
 
2.2 Оцінка вразливостей 
 
Національний інститут стандартів і технологій (NIST, National Institute of 
Standards and Technology) в «Керівництві з безпеки промислових систем 
управління» рекомендує вразливості розподілити на три класи: 
 
• вразливості політики та процедур безпеки системи; 
• вразливості платформ; 
• вразливості мереж. 
 
2.2.1 Вразливості системної політики і процедур безпеки 
 
Кібербезпека – це комплекс процесів, який охоплює системні політики, 
технічні засоби та програмне забезпечення. Часто в застосовуваній системі безпеки 
системна політика не враховується взагалі або враховується недостатнім чином, що 
може призвести до вразливості системи [8, 21]. 
Загальна система оцінки вразливостей (Common Vulnerability Scoring System, 
CVSS) – це безкоштовний і відкритий галузевий стандарт для оцінки серйозності 
вразливостей безпеки комп’ютерної системи. CVSS намагається призначити 
оцінки серйозності вразливостям, дозволяючи особам, що реагують, розставляти 
пріоритети відповідей і ресурсів відповідно до загроз. Оцінки розраховуються на 
основі формули, яка залежить від кількох метрик, які приблизно описують легкість 
і вплив експлойту. Оцінки коливаються від 0 до 10, причому 10 є найважою. 
Зазвичай використовують лише базову оцінку CVSS для визначення серйозності, 
але існують також темпоральні оцінки та оцінки середовища, щоб врахувати 
доступність пом’якшення ризиків та наскільки широко поширені вразливі системи 
в організації, відповідно [3, 15]. 
В базові показники входять: 
1. Вектор доступу (AV) показує, як може бути використана вразливість – 
локальна (L) – 0,395 балів, сусідня мережа (A) – 0,646 балів, мережа (N) – 1 бал. 
2. Складність доступу (AC) описує, наскільки легко або важко 
використовувати виявлену вразливість – висока (H) – 0.35 балів, помірна (M) – 0.61 
балів, низька (L) – 0.71 балів. 
 
3. Показник автентифікації (Au) описує кількість разів, коли зловмисник 
повинен автентифікуватися на цілі, щоб скористатися вразливістю – множинна (M) 
– 0.45 балів, одиночна (S) – 0.56 балів, відсутня (N) – 0.704 балів. 
4. Показник конфіденційності (C) описує вплив на конфіденційність даних, 
що обробляються системою – відсутній (N) – 0.0 балів, частковий (P) – 0.275 балів, 
повний (C) – 0.660 балів. 
5. Показник цілісності (I) описує вплив на цілісність експлуатованої 
системи – відсутній (N) – 0.0 балів, частковий (P) – 0.275 балів, повний (C) – 0.660 
балів. 
6. Показник доступності (A) описує вплив на доступність цільової системи 
– відсутній (N) – 0.0 балів, частковий (P) – 0.275 балів, повний (C) – 0.660 балів. 
У таблиці 2.1 наведено опис вразливих місць системи, коли системні 
політики і процедури безпеки не опрацьовано належним чином. 
 
Таблиця 2.1 – Вразливість системної політики і процедур безпеки 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Неадекватна Вразливості виникають через Локальна Помірна Одиночна 
політика безпеки неадекватну політику або    
відсутність політики для Частковий Частковий Частковий 
захисту системи управління. 
Відсутність Навчальні заходи з безпеки Локальна Помірна Відсутня 
навчання допомагають інформувати    
персоналу персонал про принципи Частковий Частковий Частковий 
політики та процедури 
безпеки, а також про стандарти 
та нормативні акти. 
Недостатня Професіонали систем Мережа Висока Множинна 
безпека управління мають мінімальну    
архітектури підготовку з питань безпеки, Частковий Частковий Частковий 
якщо виробники не включили 
в свою продукцію функції 
безпеки. 
 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Не існує Не розроблено спеціальний Мережа Низька Одиночна 
задокументованої порядок дій із забезпечення    
процедури кібербезпеки, зафіксований в Частковий Частковий Частковий 
безпеки на основі документації, що повинен 
системної вивчити весь обслуговуючий 
політики персонал. 
Відсутність або Інструкції з використання Локальна Низька Одиночна 
недостатність обладнання повинні    
інструкцій по відповідати сучасним вимогам Відсутній Відсутній Частковий 
використанню і бути легкодоступними. 
обладнання 
Відсутність  Персонал, відповідальний за Мережа Низька Одиночна 
адміністративних дотримання правил безпеки,    
механізмів повинен відповідати за Частковий Частковий Частковий 
забезпечення дотримання задокументованих 
дотримання політик і процедур безпеки 
правил безпеки системи. 
Недостатній або Незалежний аудит безпеки Локальна Низька Одиночна 
відсутній аудит аналізує системні журнали та    
функцій безпеки записи. На підставі цього Частковий Відсутній Відсутній 
підтверджується адекватність 
управління системою і 
відповідність встановленій 
політиці. 
Немає План відновлення повинен Мережа Висока Множинна 
спеціального бути попередньо    
плану аварійного підготовлений і Відсутній Частковий Повний 
відновлення протестований, повинен 
знаходитися в доступному 
місці на випадок збою 
обладнання, програмного 
забезпечення або відмови. 
Відсутність Процес внесення змін до Локальна Висока Множинна 
контролю за складу апаратних, програмних    
змінами в засобів і документації повинен Повний Повний Частковий 
конфігурації проводитися під контролем. 
Це необхідно для захисту від 
неправильних або помилкових 
змін, які можуть бути внесені 
до введення в експлуатацію, 
під час впровадження або в 
процесі експлуатації.  
 
Використовуючи ці шість метрик для розрахунку можливості експлуатації та 
впливу вразливості на роботу системи. Ці часткові оцінки використовуються для 
обчислення загальної базової оцінки. 
 
Exp = 20 AccessVector  AccessComp Auth
  (2.1) 
Impact =10,41 (1− (1−Conf ) (1− Integ) (1− Avail)
0, якщо Impact = 0,
 f (Impact) =    (2.2) 
1.176, інакше.
 BaseScore = roundTo1Dec(((0.6 Impact)+ (0.4Exp)−1.5) f (Impact)   (2.3) 
 
де, AccessVector – значення метрики вектор доступу, AccessComp – значення 
метрики складність доступу, Auth - значення метрики автентифікація, Conf – вплив 
на конфіденційність, Integ – вплив на цілісність, Avail – вплив на доступність, 
roundTo1Dec – функція округлення до 1 десяткового знаку після коми, BaseScore - 
базова оцінка. 
Таким чином, отримуємо розраховані базові показники для кожної 
вразливості системної політики і процедур безпеки, показані в таблиці 2.2. 
 
Таблиця 2.2 – Базові показники вразливості системної політики і процедур безпеки 
Вразливість Базові 
показники (бали) 
Неадекватна політика безпеки 4,1 
Відсутність навчання персоналу 4,4 
Недостатня безпека архітектури 4,3 
Не існує задокументованої процедури безпеки на основі системної 6,5 
політики 
Відсутність або недостатність інструкцій по використанню обладнання 1,7 
Відсутність адміністративних механізмів забезпечення дотримання 6,5 
правил безпеки 
Недостатній або відсутній аудит функцій безпеки 1,7 
Немає спеціального плану аварійного відновлення 5,3 
Відсутність контролю за змінами в конфігурації 5,6 
 
2.2.2 Вразливості платформи 
 
Сучасні промислові системи управління часто складаються з сотень 
розумних пристроїв і повинні працювати цілодобово, 365 днів на рік. Багато 
кінцевих користувачів відкладають або уникають оновлення систем через неминучі 
втрати, пов'язані з простоєм і потенційним ризиком невдалого оновлення. 
Більшість систем людино-машинного інтерфейсу (ЛМІ) не мають захисного 
антивірусного програмного забезпечення, оскільки його основу потрібно часто 
оновлювати або вона не може залишатися актуальною та ефективною. Платформи 
використовували власні мережеві протоколи, які повинні були забезпечувати 
безпеку та захищати від атак, оскільки вбудовані функції безпеки відсутні або не 
налаштовані. 
У таблиці 2.3 наведено опис вразливих місць платформи. 
 
Таблиця 2.3 – Вразливості платформи 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Оновлення для ОС Застарілі ОС і додатки можуть Мережа Висока Множинна 
і додатків безпеки мати виявлені вразливі місця.    
недоступні Необхідно розробити Повний Частковий Повний 
закріплений документами 
порядок дій щодо підтримки 
оновлень функцій безпеки. 
Застосування Застосування конфігурацій за Сусідня Помірна Одиночна 
конфігурацій за замовчуванням часто мережа   
замовчуванням призводить до небезпечних  Частковий Частковий 
або непотрібних дій: відкриття Частковий 
портів, запуску сервісних 
програм і додатків на вузлах. 
Необхідні Щоб забезпечити Мережа Висока Одиночна 
конфігурації не працездатність та попередити    
зберігаються і не втрату даних у разі Відсутній Частковий Повний 
дублюються ненавмисної або зловмисної 
зміни, необхідно провести дії 
із відновлення налаштувань 
системи. 
 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Незахищені дані Якщо конфіденційні дані Локальна Низька Одиночна 
на портативних (наприклад, паролі, номери    
пристроях телефонів) зберігаються в Повний Повний Частковий 
незашифрованому вигляді на 
портативних пристроях. 
Відсутність Якщо використовуються Локальна Помірна Одиночна 
грамотної паролі, потрібно визначити    
політики паролів політику керування паролями, Повний Частковий Частковий 
яка визначає складність пароля 
та спосіб його збереження. 
Використання Невдало підібрані паролі Локальна Помірна Одиночна 
простого для можуть бути вгадані    
вгадування пароля комп'ютерним алгоритмом або Повний Частковий Частковий 
людиною. 
Недостатній Доступ до диспетчерського Локальна Помірна Одиночна 
фізичний захист центру, польових пристроїв,    
критичних систем кишенькових пристроїв, Повний Частковий Частковий 
навколишнього середовища та 
інших компонентів 
контрольної панелі повинен 
контролюватися. 
Несанкціонований Фізичний доступ до Локальна Помірна Одиночна 
персонал має обладнання систем    
можливість автоматизації повинен бути Повний Частковий Частковий 
фізичного доступу обмежений. 
до обладнання 
Незахищений Пристрої віддаленого доступу, Локальна Помірна Одиночна 
віддалений доступ які забезпечують можливість    
до компонентів керуючого персоналу або Частковий Частковий Частковий 
системи виробників обладнання 
отримати віддалений доступ 
до системи, повинні 
використовуватися під 
належним контролем. 
Недокументовані Для забезпечення надійного Локальна Висока Одиночна 
ресурси захисту системи управління    
необхідно мати точний перелік Частковий Частковий Частковий 
всіх ресурсів системи. 
Відсутність Якщо в системі немає Локальна Висока Відсутня 
резервного резервного джерела живлення    
джерела живлення для критично важливих Відсутній Відсутній Повний 
ресурсів, то в разі повного 
знеструмлення все обладнання 
системи буде відключено. 
 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Відмова в Програмне забезпечення Мережа Висока Відсутня 
обслуговуванні ( системи може стати вразливим    
DoS) у разі відмови в Відсутній Відсутній Повний 
обслуговуванні, що може 
призвести до запобігання 
авторизованого доступу до 
ресурсів або затримок у роботі. 
Використання DNP 3.0, Modbus, Profibus та Локальна Низька Одиночна 
незахищених, інші протоколи мають    
загальногалузевих відкритий вихідний код і часто Відсутній Частковий Частковий 
протоколів використовуються в 
промисловості. 
Використання Багато протоколів СПА Локальна Низька Одиночна 
нешифрованих передають незашифровані    
каналів дані, що значно спрощує Повний Частковий Відсутній 
прослуховування повідомлень 
зловмисниками. 
Не встановлено Вторгнення може призвести до Мережа Висока Множинна  
програмне втрати працездатності    
забезпечення для системи, крадіжки, Повний Частковий Повний 
виявлення/ модифікації та видалення 
запобігання даних, неправильного 
вторгнень виконання команд керування. 
 
Розраховані базові показники для кожної вразливості платформи, показані в 
таблиці 2.4. 
 
Таблиця 2.4 – Базові показники вразливості платформи 
Вразливість Базові 
показники (бали) 
Оновлення для ОС і додатків безпеки недоступні 6,4 
Застосування конфігурацій за замовчуванням 4,9 
Необхідні конфігурації не зберігаються і не дублюються 5,6 
Незахищені дані на портативних пристроях 6,4 
Відсутність грамотної політики паролів 5,5 
Використання простого для вгадування пароля 5,5 
Недостатній фізичний захист критичних систем 5,5 
 
Вразливість Базові 
показники (бали) 
Несанкціонований персонал має можливість фізичного доступу до 5,5 
обладнання 
Незахищений віддалений доступ до компонентів системи 4,1 
Недокументовані ресурси 3,5 
Відсутність резервного джерела живлення 4 
Відмова в обслуговуванні ( DoS) 5,4 
Використання незахищених, загальногалузевих протоколів 3,2 
Використання нешифрованих каналів 5,2 
Не встановлено програмне забезпечення для виявлення/ запобігання 6,4 
вторгнень 
 
2.2.3 Вразливості мереж 
 
Вразливості в комунікаційних мережах зазвичай виникають унаслідок 
недоробок під час проєктування, недостатнього технічного обслуговування мереж, 
а також при недостатньому розумінні мережних вимог. У багатьох додатках 
проєктуванням мережних комунікацій займаються два відділи: відділ IT і відділ 
управління процесами. Якщо кожен із відділів не знайомий із вимогами іншого, це 
може призвести до вразливості комунікаційної мережі. Для розуміння 
особливостей проектування мереж для систем автоматизації необхідно провести 
порівняльний аналіз із вимогами до комунікаційних мереж. Порівняння показано в 
таблиці 2.5. 
 
Таблиця 2.5 – Відмінності між комунікаційними мережами та для СПА  
Категорія ІТ мережі СПА мережі 
Керування Конфіденційність і цілісність даних Найважливішою метою є безпека 
ризиками дуже важлива.  людини і захист процесу. 
Відмовостійкість менш важлива - Відмовостійкість дуже важлива, 
короткочасний простій не є навіть короткочасний простій може 
головним ризиком. бути неприйнятним. 
Головний ризик - це затримка Головні ризики - це втрата 
ділових операцій. управління, людські жертви, втрата 
обладнання чи продукції. 
 
Категорія ІТ мережі СПА мережі 
Безпека Основна увага приділяється захисту Основною метою є захист кінцевих 
архітектури ресурсів IT та інформації, яка клієнтів (наприклад, таких як 
зберігається в них або передається контролери управління процесом). 
між цими ресурсами. Центральному Захист центрального сервера дуже 
серверу потрібен посилений захист. важливий. 
Взаємодія, Менш критична надзвичайна Відповідна реакція людини та інших 
критична за взаємодія. Сильно обмежене надзвичайних взаємодій є 
часом управління доступом може бути критичною. Доступ до СПА має 
застосовано в міру, необхідну для жорстко контролюватися, але не 
безпеки. повинен заважати взаємодії людина-
машина. 
Комунікація Стандартні комунікаційні Безліч патентованих і стандартних 
протоколи. Здебільшого провідні комунікаційних протоколів. Кілька 
мережі, можливо з невеликою типів комунікаційних середовищ, 
кількістю бездротових пристроїв. включно з дротовими і 
Типові мережеві методи IT. бездротовими. 
Управління Зміни ПЗ проводяться своєчасно в Зміни ПЗ мають бути повністю 
змінами супроводі якісної політики і перевірені та розгорнуті з приростом 
процедур безпеки. Процедури часто ресурсів системи загалом, щоб 
автоматизуються. гарантувати, що збережено 
цілісність системи управління. 
 
Вразливості мережі можна розділити на такі категорії: 
• Вразливість конфігурації мережі; 
• Вразливість мережевого обладнання; 
• Вразливість периметра мережі; 
• Вразливість мережевого моніторингу та ведення журналів; 
• Вразливість зв'язку; 
• Вразливість бездротового з'єднання. 
У таблиці 2.5 наведено опис вразливих місць комунікаційних мереж для 
СПА. 
 
 
 
 
 
 
Таблиця 2.6 – Вразливості комунікаційних мереж для СПА 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Недостатня Мережна інфраструктура в Локальна Помірна Одиночна 
безпека мережевої межах СПА часто    
архітектури розробляється та змінюється Частковий Частковий Частковий 
на основі ділових та робочих 
вимог з деяким урахуванням 
потенційних загроз безпеці від 
цих змін. 
Не Контроль потоків даних, Локальна Помірна Одиночна 
використовується наприклад, списки контролю    
контроль потоків доступу ACL, необхідний для Частковий Частковий Частковий 
даних того, щоб чітко описати, які 
системи можуть отримувати 
прямий доступ до пристроїв. 
Паролі під час Якщо паролі передаються Локальна Висока Одиночна 
передачі не відкритим текстом у мережним    
шифруються середовищем, то вони можуть Повний Частковий Частковий 
бути перехоплені 
зловмисниками. 
Незахищені До незахищених портів (USB) Локальна Низька Одиночна 
фізичні порти можна здійснити    
несанкціоноване під'єднання Повний Повний Повний 
портативного комп'ютерного 
жорсткого диска, карти 
пам'яті, реєстратора роботи 
клавіатури тощо. 
Відсутність Відсутність резервування Локальна Висока Відсутня 
резервування критично важливих мереж    
критичних мереж може призвести до збою Відсутній Відсутній Повний 
системи у разі одного збою. 
Мережні сервіси Всі обслуговуючі мережні Мережа Висока Множинна 
поза мережею сервіси знаходяться поза    
управління мережею управління. Частковий Частковий Частковий 
Відсутність Без регулярного моніторингу Локальна Помірна Множинна 
моніторингу безпеки інциденти можуть    
безпеки в мережі залишитися непоміченими, що Частковий Частковий Частковий 
СПА може призвести до додаткових 
пошкоджень та/або руйнувань. 
Аутентифікація Багато протоколів СПА не Сусідня Помірна Множинна 
користувачів, або застосовують процедуру мережа   
пристроїв аутентифікації.  Частковий Частковий 
нестандартна чи Повний 
немає. 
 
Вразливість Опис Вектор Складність Автенти-
доступу/ доступу/ фікація/ 
Конфіден- Цілісність Доступність 
ційність 
Неадекватна Сувора взаємна Сусідня Помірна Множинна 
аутентифікація аутентифікація бездротових мережа   
клієнта і точок клієнтів і точок доступу  Частковий Частковий 
доступу необхідна для забезпечення Повний 
того, що клієнти не 
підключаються через 
зловмисну точку доступу. 
 
Розраховані базові показники для кожної вразливості комунікаційних мереж 
для СПА, показані в таблиці 2.7. 
 
Таблиця 2.7 – Базові показники вразливості комунікаційних мереж для СПА 
Вразливість Базові 
показники (бали) 
Недостатня безпека мережевої архітектури 4,1 
Не використовується контроль потоків даних 4,1 
Паролі під час передачі не шифруються 5 
Незахищені фізичні порти 6,8 
Відсутність резервування критичних мереж 4 
Мережні сервіси поза мережею управління 4,3 
Відсутність моніторингу безпеки в мережі СПА 3,8 
Аутентифікація користувачів, або пристроїв нестандартна чи немає. 5,9 
Неадекватна аутентифікація клієнта і точок доступу 5,9 
 
Числові формули визначають показники з існуючого діапазону оцінок 0-10. 
Текстове пояснення оцінок серйозності вразливостей: Відсутній (0), Низький (0,1-
3,9), Середній (4,0-6,9), Високий (7,0-8,9) і Критичний (9,0-10,0). На основі цього 
розробляється впровадження того чи іншого методу захисту та пом’якшення 
впливу атак, що експлуатують ці вразливості. 
  
 
 МЕТОДИ УДОСКОНАЛЕННЯ КІБЕРЗАХИСТУ 
 
Сучасний підхід глибинної оборони актуальний також і для захисту систем 
промислової автоматизації. Він зазвичай використовує кілька методів забезпечення 
безпеки, щоб допомогти знизити ризики. Відомо, що не існує єдиного рішення, яке 
може забезпечити адекватний захист від комп'ютерних атак на мережі систем 
промислової автоматизації, але використання передових практик захисту 
телекомунікаційних мереж та врахування особливостей мереж автоматизації може 
бути чудовим рішенням. 
Існує декілька підходів до «глибинного захисту». Більшість із них розглядає 
шість захисних шарів в мережі керування. Структурно такий підхід можна 
зобразити наступним чином (рисунок 3.1). 
 
 
Рисунок 3.1 – Глибинний захист 
 
Кожен шар такого підходу можна коротко представити так: 
1. План безпеки. 
 
Розробка плану забезпечення безпеки є першим кроком до створення 
безпечної мережі для систем промислової автоматизації. Політики та процедури 
мають бути визначені, реалізовані й, що особливо важливо, постійно оновлюватися 
та підтримуватися. Процес планування включає оцінку вразливостей, зниження 
ризиків і створення плану для їх мінімізації або уникнення. 
2. Розділення мереж. 
Фізичне відокремлення мережі систем промислової автоматизації від інших 
мереж, зокрема повне розмежування мереж підприємства. 
3. Визначення захисного периметру. 
Захисний периметр забезпечує захист мережі систем промислової 
автоматизації від несанкціонованого доступу за допомогою міжмережного екрану, 
автентифікації, авторизації, використання VPN (IPsec) та антивірусного 
програмного забезпечення. Віддалений доступ також повинне бути додано в 
захисний периметр. 
4. Сегментація мережі. 
Сегментація мережі за використання VLAN здійснюється через поділ мережі 
на підмережі для підвищення безпеки й підтримання захищеності кожного 
сегменту. 
5. Посилення захищеності пристроїв (hardening). 
Посилення захищеності пристроїв – це процес підвищення безпеки шляхом 
налаштування конфігурацій пристроїв задля підвищення безпеки. Воно містить 
встановлення паролів і контроль доступу, а також вимкнення всіх 
невикористовуваних протоколів та сервісів. 
6. Моніторинг мережі. 
Жодна мережа не є захищеною на 100% через постійний розвиток нових 
загроз. Потрібно забезпечити постійний моніторинг мережі систем промислової 
автоматизації, щоб оперативно блокувати зловмисників до того, як вони зможуть 
завдати шкоди. 
 
 
3.1 План безпеки 
 
Перший крок до захищеної мережі полягає у створенні плану забезпечення 
безпеки з процедурами та політикою. Для створення всеосяжного плану 
забезпечення безпеки має бути створено багатофункціональну робочу групу, що 
складається з менеджерів, IT-персоналу, інженерів систем управління, операторів 
та експертів з питань безпеки. Це дасть змогу врахувати всі аспекти виробничих, 
управлінських та інформаційно-телекомунікаційних аспектів роботи підприємства, 
де функціонує система промислової автоматизації. 
План забезпечення безпеки має чітко визначати: 
• ролі та обов'язки осіб, яких описує політика; 
• дії та процеси, дозволені та заборонені; 
• дії при недотриманні. 
Для вже наявних мереж до створення плану із забезпечення інформаційної 
безпеки потрібно провести повномірну оцінку ситуації: 
• визначити канали зв'язку в мережу системи промислової автоматизації і з 
неї; 
• визначити канали зв'язку всередині мережі системи промислової 
автоматизації; 
• виконати повний аудит пристроїв у цій  мережі; 
• записати параметри безпеки кожного пристрою; 
•  розробити детальну схему мережі. 
Після розроблення структурної схеми (рисунок 3.2) системи необхідно 
провести остаточний аналіз вразливості системи, щоб виявити слабкі місця, 
потенційні загрози та походження загроз. 
 
 
Рисунок 3.2 – Структурна схема організації комунікацій СПА 
 
Сам план має складатися з таких пунктів: 
• Політики безпеки мають бути розроблені для мережі системи управління 
автоматизації виробництва та її окремих компонентів. Політики повинні 
періодично переглядатися, щоб враховувати зміни в загрозах, зміни в структурах 
системи та забезпечення достатнього рівня безпеки. 
• Блокування доступу до ресурсів і послуг. Захист периметра за допомогою 
брандмауерів або проксі-серверів, системи контролю доступу та антивірусне 
програмне забезпечення. 
 
• Виявлення шкідливої активності – виявлення вторгнень, як-от моніторинг 
та аудит журналів подій, необхідне для виявлення проблем у мережі. 
• Пом'якшення можливих атак – більш безпечні мережі надають більші 
затримки передачі даних. Для того щоб процес правильно запустити, може 
знадобитися знання рівня вразливості. 
• Виправлення основних виявлених проблем. Виправлення виявлених 
проблем зазвичай охоплює оновлення, модернізацію або виправлення вразливості 
чи видалення вразливого застосунку. 
 
3.2 Розділення мереж 
 
Одним із важливих елементів проєктування мережі системи управління є 
фізичний поділ між мережею управління та зовнішніми комунікаціями. Доступ до 
даних між Інтернетом, корпоративними системами та мережами управління має 
здійснюватися на серверах, розташованих у безпечній зоні (Demilitarized Zone - 
DMZ). Безпечна зона (DMZ) забезпечує безпечний і надійний спосіб обміну даними 
між пристроями різних зон. Безпечна зона (DMZ) повинна містити: 
• сервери даних, наприклад, Citect Historian, які збирають дані з систем 
управління і поширюють їх усередині підприємства; 
• управління оновленнями програмного забезпечення; 
• сервера антивірусного програмного забезпечення; 
• сервер веб-доступу; 
• точку бездротового доступу; 
• сервер віддаленого доступу. 
Усі комунікаційні лінії зв'язку закінчуються в DMZ. Там не повинно бути 
будь-якого прямого з'єднання з промисловою мережею управління.  
Приклад організації DMZ в системах промислової автоматизації показано на 
рисунку 3.3 
 
 
Рисунок 3.3 – Приклад організації DMZ в системах промислової 
автоматизації 
 
Рекомендації щодо DMZ можна привести такі: 
• Усі пересилання мають закінчуватися на серверах у DMZ. 
• Вхідний трафік у систему управління має бути заблоковано. Доступ до 
пристроїв усередині системи керування має проводитися через DMZ. 
• Вихідний трафік через брандмауер системи управління має бути 
обмежений тільки особливо важливими пересиланнями. 
• Весь вихідний трафік із мережі системи управління в корпоративну 
мережу має бути обмежений портом і сервісом джерела та приймача. 
• Брандмауер має бути налаштований на фільтрацію вихідного трафіку, щоб 
зупинити фальшиві IP-пакети під час виходу з мережі системи управління або 
DMZ. 
 
• Брандмауери мають бути налаштовані на пересилання IP-пакетів, тільки 
якщо ці пакети мають коректну IP-адресу джерела для мережі керування та DMZ 
мережі. 
• Настійно не рекомендується відкривати доступ до Інтернету з пристроїв 
систем управління. 
• Сервери в зоні DMZ повинні мати жорстку логіку. Оновлення системи 
безпеки та антивірусного програмного забезпечення повинні проводитися 
періодично. 
 
3.3 Визначення захисного периметру 
 
Міжмережні екрани (брандмауери) використовуються для захисту периметра 
мережі, блокуючи неавторизований доступ, дозволяючи тільки авторизовані 
комунікації. Цей пристрій (або набір пристроїв) налаштовано на дозвіл, заборону, 
шифрування, дешифрування або пересилання через проксі-сервер усього (вхідного 
та вихідного) трафіку між різними доменами безпеки, заснованої на наборі правил 
та інших критеріїв. 
Брандмауери відіграють важливу роль у мережі системи керування. Пристрої 
керування процесами вимагають швидкого передавання даних і, отже, недозволено 
вносити затримки, спричинені перевіркою стратегії безпеки. Система керування 
значною мірою спирається на захист периметра, що дає змогу блокувати всі 
небажані та несанкціоновані пересилання в мережі. Організація захисного 
периметру за допомогою брандмауера показана на рисунку 3.4. 
Існує три категорії брандмауерів: 
1. Фільтрація пакетів. Основний тип брандмауерів низької вартості з 
мінімальним впливом на продуктивність мережі. Основні дані в кожному пакеті, 
наприклад, IP-адреси перевіряються до відправлення. Не рекомендуються до 
використання через відсутність перевірки достовірності даних, що передаються, не 
приховують архітектури мереж, що охороняються. 
 
 
Рисунок 3.4 – Організація захисного периметру за допомогою брандмауера 
 
2. Застосування проксі-шлюзу. Проксі-шлюз аналізує пакети на рівні 
додатків і фільтрує трафік на основі певних правил додатків, таких як спеціальні 
програми (наприклад, браузери) або протоколи (наприклад, FTP). Застосування 
проксі-шлюзів забезпечує високий рівень безпеки, але може мати накладні витрати 
та затримки, що впливають на продуктивність мережі системи керування, тому 
часто не рекомендуються для застосування. 
3. Брандмауери Stateful Inspection. Stateful Inspection являє собою 
багатошарові брандмауери, що поєднують у собі можливості зазначених вище 
брандмауерів. Фільтрації пакетів у Stateful Inspection на мережевому рівні, 
підтверджує, що сесії пакетів і вміст пакетів на прикладному рівні, є законними. 
Застосування Stateful Inspection забезпечує режим роботи, за якого всі вхідні пакети 
є результатом вихідного запиту. І хоча брандмауери Stateful Inspection дорого 
 
коштують і складні в налаштуванні, вони забезпечують високий рівень 
продуктивності та безпеки. 
На основі рекомендацій NIST можливо сформувати такі правила: 
• основне правило: відкидати все і нічого не дозволяти; 
• порти і сервіси для обміну даними між мережами мереж управління і 
корпоративною мережею мають бути відкриті і дозволені після розгляду кожного 
конкретного випадку окремо. Необхідно зробити документальне обґрунтування, 
що містить аналіз ризиків, і призначити людину відповідальну, за кожен 
дозволений вхідний або вихідний потік даних; 
• всі дозволи повинні мати конкретні IP-адреси та номери портів TCP/UDP; 
• всі правила мають обмежувати трафік на певну IP-адресу або діапазон 
адрес; 
• транзитне передавання даних із мережі системи управління в 
корпоративну мережу має бути блоковано. Усі пересилання мають закінчуватися в 
DMZ; 
• будь-який протокол, дозволений між мережею системи управління і DMZ, 
не повинен бути дозволений між DMZ і корпоративною мережею (і навпаки); 
• весь вихідний трафік із мережі системи управління в корпоративну мережу 
має бути описаний за джерелами передавання і мати конкретного одержувача із 
зазначенням використовуваного сервісу і мережевого порту; 
• вихідні пакети з мережі системи управління або DMZ можуть бути 
дозволені, тільки якщо ці пакети мають правильну IP-адресу джерела, призначену 
в мережі системи управління або DMZ пристроїв; 
• пристрої з мережі системи управління не повинні мати дозволений доступ 
до Інтернету; 
• мережі систем управління не повинні безпосередньо підключатися до 
Інтернету, навіть через канал зв'язку, захищений за допомогою брандмауера. 
 
Ще одна технологія, яка майже завжди пов’язана з міжмережним екраном – 
це NAT. В більшості випадків перетворення мережних адрес відбувається на 
маршрутизаторі з міжмережним екраном. При цьому будь-яка IP-адреса не може 
отримати доступ до пристрою безпосередньо. 
NAT передбачає створення карти всієї мережі та організацію маршрутизації 
передачі даних через одну IP-адресу. NAT спирається на припущення, що не всі 
внутрішні пристрої можуть активно спілкуватися із зовнішніми пристроями в будь-
який момент часу. Брандмауер повинен відстежувати стан кожного з'єднання і те, 
як кожна приватна внутрішня IP-адреса і порт джерела були перепризначені. 
Якщо від брандмауера отримано дозвіл, IP-адресу призначення замінюють і 
пакети спрямовують до належного внутрішнього вузла. 
 
 
Рисунок 3.5 – Принципи роботи NAT 
 
Хоча NAT маршрутизатори технічно не є брандмауерами, проте NAT 
захищає пристрої промислової автоматизації від зовнішньої мережі. NAT 
забезпечує високий рівень безпеки, оскільки пакети з Інтернету блокуються і 
закривається доступ до пристроїв безпосередньо. Тільки відповіді на запити 
дозволені для передачі. 
Перевірка автентичності – це процес визначення справжнього об'єкта. Є 
кілька методів зовнішньої перевірки автентичності. Метод віддаленої перевірки 
користувачів (Remote Authentication Dial In User Service (RADIUS)) є найбільш 
популярним мережевим протоколом, використовуваним у мережах систем 
керування. На рисунку 3.4 він показаний як сервер автентифікації.  
RADIUS має три функції: 
 
• аутентифікації користувачів і пристроїв, перед наданням їм доступу до 
мережі; 
• авторизації користувачів і пристроїв для певних мережевих послуг; 
• відповідальність за використання цих послуг. 
Передача даних між клієнтом і сервером за допомогою RADIUS 
забезпечується при забезпеченні перевірки автентичності з використанням 
спеціального коду. Цей код шифрується за допомогою алгоритму шифрування 
MD5. Спочатку RADIUS було розроблено для комутованого віддаленого доступу. 
Сьогодні RADIUS підтримується в серверах віртуальних приватних мереж (VPN), 
бездротових точок доступу, аутентифікації комутаторів Ethernet, цифрових 
абонентських ліній Digital Subscriber Line (DSL) та інших видів доступу до мережі. 
Дистанційне керування відрізняється від віддаленого доступу тим, що 
дистанційне керування часто організовується в обхід захисту периметра безпеки у 
зв'язку із затримками, які накладає брандмауер. Необхідне проведення аналізу 
ризиків такого під’єднання для того, щоб виявити і збалансувати впливи ризиків. 
Дистанційне керування через бездротовий доступ вносить додаткові 
проблеми безпеки. Найкращим захистом є використання VPN тунелів з IP Sec на 
основі міжмережного екрану (рисунок 3.6). 
Під час використання бездротового зв'язку існують окремі рекомендації 
щодо забезпечення безпеки. 
Перед встановленням бездротової лінії зв'язку необхідно провести 
обстеження для того, щоб визначити місце розташування антени і захищеність 
переданих даних, щоб мінімізувати сторонні впливи на бездротову мережу. 
Обстеження має брати до уваги той факт, що зловмисники можуть 
використовувати потужні спрямовані антени, які розширюють ефективний 
діапазон бездротової мережі за межі очікуваного стандартного діапазону. Клітини 
Фарадея та інші методи також доступні, щоб мінімізувати поширення зони 
бездротової мережі за межі відведених для бездротового зв'язку місць. 
 
 
 
Рисунок 3.6 – Використання VPN для дистанційного керування  
 
Користувачі мережі, які використовують бездротовий доступ, повинні 
застосовувати автентифікацію IEEE 802.1x із захищеними протоколами 
автентифікації (наприклад, Extensible Authentication Protocol [EAP] з TLS [EAP-
TLS]), що забезпечує автентифікацію користувачів за допомогою сертифікатів або 
віддаленої перевірки користувачів через (RADIUS) сервер. 
Бездротові точки доступу та сервери даних із бездротовим доступом 
працівників мають бути розташовані в ізольованій мережі з описаною кількістю 
підключень і мінімальним (одне, якщо це можливо) підключенням до мережі з 
NAT. 
Бездротові точки доступу мають бути налаштовані на унікальний набір 
послуг (SSID), вимкнення трансляції SSID, і налаштування MAC-фільтрації. 
 
Бездротові пристрої, якщо вони використовуються в мережі Microsoft 
Windows, мають бути налаштовані в окрему організаційну одиницю – домен Active 
Directory з використанням автентифікації. 
Бездротові пристрої повинні підключатися з використанням шифрування і 
захисту цілісності під час передачі даних. Шифрування не повинно погіршувати 
експлуатаційні характеристики кінцевого пристрою. Шифрування слід розглядати 
на рівні 2 моделі OSI, а не на рівні 3, що скорочує затримки шифрування. Слід 
також розглядати використання апаратних прискорювачів для виконання 
криптографічних функцій. 
Для мереж з комірчастою топологією потрібно розглянути питання про 
використання широкомовних ключів доступу замість відкритого доступу через 
рівень 2 моделі OSI, це дасть змогу досягти максимальної продуктивності. 
Прийоми асиметричної криптографії мають використовуватися для 
виконання адміністративних функцій, симетричного шифрування кожного потоку 
даних, а також трафіку управління мережею. Протокол адаптивної маршрутизації 
слід розглядати, якщо пристрої будуть використовуватися для бездротового 
мобільного зв'язку. Час відновлення мережі має бути максимальним для 
забезпечення швидкого відновлення роботи мережі в разі виявлення помилок або 
втрати силового живлення. Використання мереж з комірчастою топологією може 
забезпечити відмовостійкість шляхом вибору альтернативного маршруту і 
попередження збою в мережах. 
 
3.4 Сегментація мережі 
 
Сегментація мережі передбачає розподіл мережі на підмережі з метою 
підвищення продуктивності та посилення безпеки. Сегментація може бути 
виконана за допомогою спеціальних пристроїв, таких як брандмауери, 
маршрутизатори та Ethernet-комутатори зі списками контролю доступу. Схема 
використання VLAN зображена на рисунку 3.7. 
 
 
Рисунок 3.7 – Використання VPN для дистанційного керування  
 
Переваги сегментації мережі можна окреслити такі: 
- шкідливий вміст трафіку (віруси, черв’яки, трояни, спам, рекламне ПЗ) 
проникає лише в один сегмент мережі; 
- підвищення безпеки, оскільки вузли стають невидимими з 
несанкціонованих мереж; 
- більшість зловмисників сканують мережі вглиб по ієрархії, перш ніж обрати 
систему для атаки; 
- запобігання витоку інформації у разі порушення безпеки в мережі; 
- передача інформації в широкомовному режимі та розсилання кільком 
користувачам обмежені лише відповідними VLAN-мережами; 
- підвищення продуктивності мережі та зменшення її навантаження. 
 
Для мереж системи промислової автоматизації рекомендується застосування 
комутаторів Ethernet через більш високу продуктивність і більшу, ніж 
маршрутизатори, ефективність. Однак маршрутизатори, які мають підтримку 
VLAN, є більш безпечними через здатність забезпечити контроль прав доступу, але 
ці пристрої привносять затримку під час передачі даних, що може бути недоліком, 
якого позбавлені комутатори Рівня 3. Тестування продуктивності завжди має бути 
проведено до початку використання. 
VLAN зазвичай використовуються для сегментації мережі. VLAN розділяє 
фізичну мережу на менші логічні мережі для підвищення продуктивності, 
поліпшення керованості, спрощення проектування мереж і забезпечення 
додаткового рівня безпеки. 
VLAN – це широкомовний домен (Рівня 2), налаштований за допомогою 
комутаторів Ethernet, що працює за принципом передавання порт-в-порт, який 
ізолює трафік від інших мереж VLAN. Коли два пристрої призначені для роботи у 
тій самій мережі VLAN, комутатор передає повідомлення з однієї мережі в іншу 
без будь-яких обмежень. 
VLAN зазвичай можуть бути згруповані за такими принципами: 
• функціональність або заданий осередок: тільки конкретний трафік для 
конкретного осередку, приймається для обробки; 
• вимоги типу доступу: тип доступу різниться для різних типів 
користувачів: операторів, інженерів, постачальників, бухгалтерів; 
• трафік: граничний рівень трафіку для досягнення необхідної 
продуктивності. 
Рекомендації щодо сегментації мережі з допомогою VLAN: 
• Використовуйте один VLAN на кільцевій топології для всіх пристроїв, що 
генерують технологічний трафік у виробничому сегменті. 
• VoIP мають бути на окремих VLAN. 
 
• Пакети, що надходять у DMZ з Інтернету, призначені для обмеженого 
доступу з ідентифікатором VLAN, який дає змогу отримати доступ тільки до 
пристроїв, призначених для DMZ. 
• Весь непотрібний трафік повинен бути видалений з передачі всередині 
конкретного VLAN. 
• Застосовувати QoS ACL, щоб обмежити максимальну кількість 
дозволеного трафіку. 
• Запобігання всіх Telnet з'єднань і дозвіл тільки SSH сесій. 
• Підключення ненадійних пристроїв до ненадійних портів, а довірених 
пристроїв до довірених портів. 
• Вимкнення невикористовуваних портів і призначення їх в одну 
невикористовувану VLAN. 
І хоча на даний час отримання прямого доступу до мережі досить складне, 
використання VLAN завжди буде доцільним. 
Як приклад, можна привести, таке: інженер має доступ до мережі всього 
заводу, але оператор, який відповідає за сайт A & B не повинен мати доступ до 
сайту С. Обслуговуючий персонал сайту C повинен мати доступ тільки до цього 
сайту. Це обмежує області вразливості. 
Рекомендації по налаштуванню портів комутаторів: 
1. Потрібно налаштувати на приймання тільки маркованих пакетів та 
ігнорування всіх немаркованих пакетів. 
2. Невикористовувані порти повинні бути відключені і поміщені в 
невикористовувану VLAN. 
3. Використовувати фільтрацію на вході для перевірки, що вхідні пакети є 
законними. 
 
 
 
3.5 Посилення захищеності пристроїв 
 
Посилення захищеності (device hardening) – так називають процес, який дає 
змогу налаштувати пристрої з конфігурацій за замовчуванням у конфігурації з 
посиленою безпекою. Він застосовується для посилення захисту маршрутизаторів, 
міжмережевих екранів, комутаторів та інших пристроїв у мережі, таких як SCADA 
і PAC. Приклади застосування посилення захисту: 
• управління паролями, включно з шифруванням; 
• відключення невикористовуваних служб; 
• контроль доступу; 
• мережева система виявлення вторгнень; 
• двохфакторна аутентифікація. 
Управління паролями є одним із основних засобів посилення безпеки, яке 
можна легко й швидко реалізувати, але воно часто ігнорується в мережах систем 
управління. Політики та процедури часто не прописані або взагалі відсутні. 
Необхідно звернути увагу на врахування вимог безпеки з оцінкою потенційних 
наслідків (наприклад, продуктивність, безпека та надійність мають розглядатися 
разом із урахуванням їхнього взаємного впливу). 
Паролі, встановлені за замовчуванням, необхідно змінити одразу після 
встановлення ПЗ: 
  - паролі користувача; 
  - прикладні паролі; 
  - скрипти та вихідний код; 
  - обладнання управління мережею. 
Усі облікові записи користувачів повинні мати паролі.   
- Обмежити термін дії паролів для користувачів, яким потрібен доступ. 
- Паролі не повинні бути легко вгадуваними або загальноприйнятими. 
- Пароль має містити щонайменше 10 символів, зокрема: 
 
  - великі або малі літери англійського алфавіту (наприклад: A, B, c, d);   
  - цифри (наприклад: 1, 2, 3);   
  - небуквено-цифрові символи (наприклад: !, $, #, %).   
- Паролі повинні регулярно змінюватися. 
Доступ до облікового запису співробітника має бути видалений після 
завершення його роботи. 
- Використовувати потрібно різні паролі для різних облікових записів, 
системних служб і додатків.   
- Повинні бути організовані універсальні паролі для всіх служб і 
користувачів, які можна швидко застосувати у надзвичайній ситуації. Вони повинні 
бути доступними у будь-який момент для всіх систем на заводі, водночас 
забезпечуючи їхню безпеку.   
- Використання паролів повинно бути реалізоване правильно, ніколи не 
заважати оператору та дозволяти оперативно реагувати на ситуацію (наприклад, 
можливість натиснути аварійний вимикач).   
- Паролі не повинні передаватися у відкритому вигляді через незахищені 
канали Інтернету, наприклад, через електронну пошту. 
Один зі способів підвищення захищеності пристроїв автоматизації є 
здійснення контролю доступу. Контроль доступу, аналогічний IP-фільтрації 
пакетів на брандмауері, тільки дозволяє доступ до адрес, заданих у таблиці 
доступу. Це корисно для запобігання доступу з однієї системи заводу однієї зони в 
іншу систему іншої зони. Контроль доступу має здійснюватися на всіх рівнях 
системи: міжмережевий екран, комутатори та пристрої. 
Досить часто в мережа автоматизації використовується протокол керування 
мережею SNMP. 
Станція керування мережею спілкується з пристроями через SNMP. Пакет 
SNMP містить IP-адресу комп'ютера-відправника разом із паролем пристрою, 
необхідним для доступу. 
 
Пристрій отримує пакет SNMP і порівнює IP-адресу комп'ютера-відправника 
та пароль із записом у своєму MIB файлі. Якщо пароль має відповідні права 
доступу, і, якщо IP-адреса комп'ютера-відправника теж дозволена для доступу, то 
пристрій дозволить доступ. 
У налаштуваннях за замовчуванням, пристрої дозволяють доступ за 
допомогою загального відкритого пароля з доступом тільки читання і приватного 
пароля з доступом читання і запис до кожного комп'ютера. 
Необхідно також загадати про контроль доступу до портів комутатора 
Ethernet. 
Порті використовувати режими безпеки портів для запобігання 
несанкціонованому фізичному підключенню до портів Ethernet. Методи 
забезпечення безпеки портів: 
• відключення відкритих портів; 
• блокування MAC-адреси - блокування конкретних MAC-адрес для 
доступу до конкретних портів комутатора Ethernet; 
• блокування IP-адреси - блокування доступу конкретної IP-адреси до 
певного порту комутатора Ethernet. Часто використовується для заміни 
несправного пристрою. 
SCADA є одним із найбільш вразливих пристроїв у мережі системи 
управління. 
Кроки, необхідні для посилення безпеки системи SCADA: 
- обмежте видимі області за допомогою налаштування ролей; 
- використовуйте веб-клієнти замість клієнтів відображення з доступом через 
Інтернет; 
- застосовуйте кілька цифрових підписів; 
- ретельно налаштовуйте привілеї, щоб вони не заважали роботі процесу; 
- використовуйте аутентифікацію MS Windows. 
Рекомендації для посилення захисту систем SCADA є такі: 
 
- Регулярне відстеження та контроль роботи через аудит, особливо у 
критичних областях, для виявлення підозрілої активності з метою негайного 
усунення загроз. 
- Налаштування дзеркальних серверів, таких як сервери історії у DMZ, 
призначені для зовнішнього доступу. Уникайте прямого доступу до мережі 
системи управління. 
- Періодична перевірка на відсутність сторонніх адрес у списку доступу. 
- Підтримка актуальності антивірусного програмного забезпечення. Це може 
суперечити виробничим завданням і потребувати додаткової оцінки ризиків. 
- Регулярне оновлення та підтримка паролів. 
- Відсутність доступу до електронної пошти або веб-доступу. 
- Відключення або видалення CD-ROM і дисководів. 
- Відсутність можливості віддаленого доступу. 
- Розміщення системи в закритих шафах, якщо це можливо. 
- Рекомендується використання подвійних брандмауерів. 
 
3.6 Моніторинг мережі 
 
У мережах систем управління вкрай важливий моніторинг безпеки. У світі не 
існує повністю захищених систем, оскільки стратегії та методи кібератак постійно 
вдосконалюються. Якщо ведеться моніторинг системи, то в разі спроби вторгнення 
можуть бути вжиті негайні заходи, які можуть запобігти пошкодженням. 
Існує кілька методів моніторингу мережі з метою виявлення підозрілої 
активності: 
• моніторинг файлів реєстрації; 
• використання перехоплень аутентифікації; 
• використання системи виявлення вторгнень IDS (Intruder Detection 
System). 
 
Щодо моніторингу мережі системи промислової автоматизації, то якщо вона 
побудована на стандарті Ethernet, можна впровадити моніторинг статистичної 
активності на основі протоколу NetFlow. 
Система виявлення вторгнень IDS відстежує активність мережі, наприклад, 
модель трафіку в мережі передавання даних, доступ до файлів, зміни статусу порту, 
введення неправильного пароля, виявлені несправності обладнання тощо. 
Існують два типи систем IDS: 
• мережева система виявлення вторгнень NIDS (Network Intruder Detection 
System) відстежує трафік від/до всіх пристроїв мережі; 
• система виявлення вторгнень на основі вузла HIDS (Host Intrusion Detection 
System) працюють на окремих вузлах або пристроях мережі. 
Згідно аналізу можливих загроз рекомендації по моніторингу можна 
виділити такі: 
1. Дозвіл перехоплення аутентифікації дає змогу відстежувати спроби 
неавторизованої реєстрації. 
2. Відстеження журналу подій. За журналом подій, який ведеться на пристрої, 
можна виявити незвичайну активність. На рисунку 3.8 показано журнал подій ОС 
Windows. 
 
 
 
Рисунок 3.8 – Моніторинг журналу подій Windows 
 
3. Відстеження навантаження мережі дає змогу негайно виявити незвичайний 
інформаційний трафік. 
4. Відстеження файлів реєстрації, які веде пристрій. Наприклад: 
• файл реєстрації відмов. 
• файл реєстрації аварійних ситуацій. 
• діагностичний файл реєстрації. 
Вибір рішення для моніторингу мережі для конкретної системи автоматизації 
є важливим, але напряму залежить від застосованого обладнання, принципів 
керування, інформації яка передається, наявності шифрування та багато чого 
іншого. Але запровадження моніторингу надасть в подальшому багато переваг не 
тільки щодо виявлення атак, але і несправностей в цілому.  
 
ВИСНОВКИ 
 
В зв’язку з впровадженням в системи промислової автоматизації ОС 
загального призначення та загально-вживаних в комунікаційних системах 
технологій отримали переваги в зручності використання, стандартизації, 
сумісності та ще в багатьох областях. Проте, разом з перевагами, як зазвичай буває, 
перейшли багато недоліків, зокрема і вразливості відкритих систем (OSI, TCP/IP) 
до кібератак. Але необхідно вказати на той факт, що ціллю зловмисників в 
інформаційних мережа є в більшості випадків цінна інформація, то системи 
автоматизації стають ціллю з метою виводу їх з ладу. Що досить часто тягне за 
собою загрози високі небезпеки, аж до загрози життю людей. 
Мету роботи було досягнуто за рахунок виконання задач по аналізу 
профілів атак, оцінки вразливостей за фреймворком загальної системи оцінки 
вразливостей CVSS, використання підходу з поділом на типи вразливостей: 
політик та процедур безпеки системи, платформи та мереж згідно рекомендації 
ISO. 
Запропоновано удосконалення кіберзахисту систем промислової 
автоматизації за рахунок посилення його там, де згідно з оцінкою вразливостей 
є найбільш слабкі місця, це зокрема процедури безпеки на основі політики, 
планування аварійного відновлення, оновлення ПЗ для вбудованих систем, 
удосконалення політики паролів та навчання персоналу. Для удосконалення 
кіберзахисту використані методи створення плану безпеки, розділення мереж, 
визначення захисного периметру, сегментація мережі, посилення захищеності 
кінцевих пристроїв, організація моніторингу мережі. 
Аналізуючи отримані результати, можна говорити, про ефективність 
удосконалення методів кіберзахисту систем промислової автоматизації на основі 
побудови профілю атак та оцінки вразливостей, який, як практичне 
впровадження, в подальшому планується апробувати на конкретному об’єкті 
автоматизованого виробництва.  
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Cybersecurity and Infrastructure Security Agency. Securing industrial control 
systems: A unified initiativefy 2019 – 2023. 15 p. URL: 
https://www.cisa.gov/sites/default/files/publications/Securing_Industrial_Control_Syste
ms_S508C.pdf (Дата звернення: 28.10.2024) 
2. Євген Паталяк. Захист критичної інфраструктури. URL: 
https://wezom.com.ua/ua/blog/zahist-kritichnoyi-infrastrukturi. (Дата звернення: 
29.10.2024) 
3. Методичні рекомендації щодо підвищення рівня кіберзахисту критичної 
інформаційної інфраструктури, затверджені наказом Адміністрації 
Держспецзв'язку від 06.10.2021 № 601. URL: https://cip.gov.ua/ua/news/nakaz-ad-
2021-10-06-601 (Дата звернення: 29.10.2024) 
4. Framework for Improving Critical Infrastructure Cybersecurity. Version 1.1. 
National Institute of Standards and Technology, 2018. 55 р. URL: 
https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf (Дата звернення: 
30.10.2024) 
5. Manar Alanazi, Abdun Mahmood, Mohammad Jabed Morshed Chowdhury, 
SCADA vulnerabilities and attacks: A review of the state‐of‐the‐art and open issues, 
Computers & Security, Volume 125. 2023, 29 p. 
6. Common Vulnerability Scoring System SIG. URL: https://www.first.org/cvss/ 
(Дата звернення: 30.10.2024) 
7. Analysis of Cyber Security Risks and Mitigation Options for Automated 
Systems and Technologies. Tartu. 2024. 112 p. 
8. Гончар С.Ф., Комаров М.Ю. Безпека інформації в комп’ютерних 
системах та мережах об’єктів критичної інфраструктури: монографія / С.Ф. Гончар, 
М.Ю. Комаров. К.: «Три К», 2021. 119 с. 
9. European Union Agency for Cybersecurity. ENISA threat landscape 2024. 
ENISA, 2024. 131 p. 
 
10. CISA. ICS Recommended Practices. URL: https://www.cisa.gov/resources-
tools/resources/ics-recommended-practices (Дата звернення: 31.10.2024) 
11. Домарєв В.В. Захист об’єктів критичної інфраструктури. Безпека 
інформаційних технологій. Навчальний посібник. URL: 
https://security.ukrnet.net/posib_zoki/ (Дата звернення: 31.10.2024) 
12. Schneider Electric. Cybersecurity solutions. URL: 
https://www.se.com/ww/en/work/solutions/cybersecurity/ (Дата звернення: 
10.11.2024) 
13. Martino Tommasini, Martin Rosso, Emmanuele Zambon, Luca Allodi, Jerry 
den Hartog Characterizing Building Automation System Attacks and Attackers. 
EuroS&PW. 2022. P. 139-149. 
14. Martin Maurice, Reynolds Tami, Sanghvi Anuj, Cox Sadie, Elsworth, James. 
Power Sector Cybersecurity Building Blocks. 2022. 54 р. 
15. Grohman R. Network Access Control and ICS: A Practical Guide. SANS 
Institute. 2022. 24 p. 
16. Spring, J. M.; Hatleback, E.; Manion, A.; Shick, D. Towards improving CVSS. 
Carnegie Mellon University Technical Reports. 2018. 8 р. 
17. Managing Cybersecurity for Industrial Control Systems. Cybersecurity for 
Industrial Control Systems. ANSSI. 2017. 44 p. 
18. Ілляшенко О. Бабешко Є. Харченко В. Кібербезпека індустріальних 
систем. Стандарти серії IEC 62443. К.: Промислова автоматизація, 2019. 55 с. 
19. ДСТУ ISO/IEC 15408-1:2023 Інформаційні технології. Кібербезпека та 
захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та 
загальна модель (ISO/IEC 15408-1:2022, IDT) 
20. ДСТУ ISO/IEC 27002:2023 Інформаційна безпека, кібербезпека та захист 
конфіденційності. Засоби контролювання інформаційної безпеки (ISO/IEC 
27002:2022, IDT) 
21. ДСТУ 3008-2015. Державний стандарт України. Документація. Звіти у 
сфері науки і техніки. Структура і правила оформлення. К: УкрНДНЦ, 2016. 26 с.
ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
