ВИКОРИСТАННЯ МЕТОДУ ВЕРИФІКАЦІЇ FMEDA/FIT ДЛЯ ОЦІНЮВАННЯ КІБЕРБЕЗПЕКИ ПРОГРАМОВНОГО ЛОГІЧНОГО КОНТРОЛЕРА
DOI:
https://doi.org/10.26906/SUNZ.2023.4.114Ключові слова:
функційна безпечність, кібербезпека, апаратний дефект, кібервразливістьАнотація
З кожним роком зростає кількість атак на критичну інфраструктуру, яка відіграє ключову роль у життєдіяльності людини. Основною ціллю зловмисників при здійсненні такого типу кібератак є програмовані логічні контролери, які використовуються для побудови ІКС технологічних процесів. Як правило, до такого типу ІКС та програмованих логічних контролерів висуваються вимоги щодо забезпечення функційної безпечності, яка оцінюється шляхом проведення FIT на базі FMEDA. А для оцінювання рівня кібербезпеки програмованого логічного контролеру використовується PnT на базі IMECA. Таким чином, для оцінки рівня функційної безпечності та кібербезпеки необхідно прикладати подвійні зусилля. Але у той же час, слід враховувати значні часові та фінансові інвестиції для визначення ступеня відповідності навіть до однієї з них. Тому, задача обґрунтування можливості використання вже отриманих результатів, щодо відповідності вимогам функційної безпечності для оцінки рівня кібербезпеки програмованого логічного контролеру є актуальною і такою, що має практичне значення. У статті розглядаються питання оцінювання рівня кібербезпеки SPLC, побудованих на основі використання технології FPGA. SPLC відповідають вимогам функційної безпечності рівня SIL-3 і вони є ядром ІКС, на які покладається завдання по забезпеченню безпечного управління критичними технологічними процесами. Обґрунтовується можливість використання результатів FIT на базі FMEDA для апаратної частини SPLC у якості результатів виконання PnT на базі IMECA. Введена метріка для оцінки загальної кількості апаратних відмов, які одночасно можуть бути розглянуті у якості кібератак. За обраним показником була виконана оцінка результатів FMEDA для одного з модулів SPLC. Використання запропонованого підходу надає змоги економії мінімум 240 людино/годинЗавантаження
Посилання
S. Coble ICS Vulnerabilities Increase 41% // Infosecurity Magazine, 18 august 2021. Available at: https://www.infosecuritymagazine.com/news/ics-vulnerabilities-increase-41/
B. Maundrill Cyber-Attack on Australian Utility Firm Energy One Spreads to UK Systems // Infosecurity Magazine, 22 august 2023. Available at: https://www.infosecurity-magazine.com/news/cyberattack-australian-utility/
R. A. Coveney Energy executives expect more extreme cyber-attacks but defensive action is lagging, new DNV research reveals // DNV, 19 may 2022. Available at: https://www.dnv.com/news/energy-executives-expect-more-extreme-cyber-attacks-butdefensive-action-is-lagging-new-dnv-research-reveals-224890
International Electrotechnical Commission. (2010-11-10). IEC 62443:2010. Industrial communication networks. Network and system security – Part 1-4.
M. Tayag, M. Emmalyn Compromising systems: implementing hacking phases // International Journal of Computer Science & Information Technology (IJCSIT), Vol 11, N 2, p. 27-35, April 2019.
B. Mahar Penetration Testing Industrial Control Systems: What to Know // KROLL, 5 april 2022 Available at: https://www.kroll.com/en/insights/publications/cyber/pentesting-industrial-control-systems
Pentest-standard.org (2011), PTES Technical Guidelines - The Penetration Testing Execution Standard. Available at: http://www.pentest-standard.org/index.php/PTES_Technical_ Guidelines
А.І. Абакумов, В.С. Харченко «Тестування на проникнення систем інтернету речей: кіберзагрози, методи та аналізи» // Electronic Modeling, V. 44. № 4, c. 79-104, 2022.
International Standart ISO/IEC 27001:2013. Information technology – Security techniques – Information security management systems – Requirements
https://ryancor.medium.com/hardware-trojans-under-a-microscope-bf542acbcc29
Óscar Ruano, Francisco García-Herrero, Luis Alberto Aranda, Alfonso Sánchez-Macián, Laura Rodriguez and Juan Antonio Maestro Fault Injection Emulation for Systems in FPGAs: Tools, Techniques and Methodology, a Tutorial // https://www.mdpi.com/1424-8220/21/4/1392
В.А. Куланов, В.А. Куланов, А.С. Скрынник Инструментальное средство засева и моделирования константных неисправностей встроенных систем на ПЛИС // Радіоелектронні і компютерні системи, № 7, с. 225-229, 2010 р.
International Electrotechnical Commission. IEC 61508:2010. Functional safety of electrical/electronic/programmable electronic safety related systems – Part 1-7.
Федоров Ю. Н. Справочник инженера по АСУТП: проектирование и разработка. Учебно – практическое пособие // Инфа-Инженерия, 2-е изд., Том 1 - 2018, с. 448.
US NRC, NUREG/CR-7151: Development of a fault Injection-Based Dependability Assessment Methodology for Digital I&C System, Vol 1-4, 2011
Скляр В. В. Обеспечение безопасности АСУТП в соответствии с современными стандартами: Методическое пособие // Инфа-Инженерия, 2018, с. 384.
Харченко В. С. “Гарантоздатність комп’ютерних систем: межа універсальності у контексті інформаційно-технічних станів”, Радіоелектронні і комп’ютерні системи, № 8, с. 7-14, 2007.
Харченко В. С. “Гарантоздатні системи та багатоверсійні обчислення: аспекти еволюції”, Радіоелектронні і комп’ютерні системи, № 7, с. 46-59, 2009.
V. Kharchenko V. Sklyar, A. Ivasuyk, “Fault-Injection Testing: FIT-Ability, Optimal Procedure and Tool for FPGA-Based Systems SIL Certification”// Proceedings of East-West Design&Test Symposium (EWDTS"2013). 2013. P.188-192.
V. Kharchenko V. Sklyar, A. Ivasuyk, O. Odarushenko “Fault insertion testing of FPGA-based NPP I&C systems: SIL certification issues”// Proceedings of 22nd International Conference on Nuclear Engineering. Technical Publication ICONE22. Nuclear Education, Public Acceptance and Related Issues; Instrumentation and Controls (I&C); Fusion Engineering; Beyond Design Basis Events. 2014. Vol. 6.
СТАНДАРТ Державного підприємства «Національна Атомна Енергогенеруюча Компанія «ЕНЕРГОАТОМ» Інформаційні та керуючі системи, важливі для безпеки атомних електричних станцій загальні технічні вимоги – СОУ НАЕК 100:2022.
International Electrotechnical Commission. IEC 61513:2011 – Nuclear power plants - Instrumentation and control important to safety - General requirements for systems.