Контакты
Подписка 2025

Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года

Алексей Петухов, 25/07/24

В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Автор: Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA

В 2014 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выпустила приказ от 14 марта 2014 г. № 31 "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".

С момента выпуска приказа, на протяжении 10 лет, в пятерку основных угроз входят:

  • атаки через офисные корпоративные сети;
  • несанкционированный удаленный доступ;
  • атаки на промышленные системы через уязвимости, используя каналы поставок;
  • саботаж и ошибки персонала;
  • заражение вредоносным программным обеспечением через USB-устройства.

Согласно опубликованным данным InfoWatch в отчете "Промышленная кибербезопасность: итоги 2023 года" [1], международная сфера ИБ АСУ ТП характеризуется следующими особенностями:

  • атаки становятся все более целевыми;
  • 37% атак с использованием программ-вымогателей на промышленные организации затрагивают как информационные, так и операционно-технические аспекты;
  • большинство инцидентов приводят к нарушению операций на предприятиях и в 12% случаев кибератаки приводят к полной остановке производства более чем на неделю;
  • две трети (69%) организаций выплачивают выкуп вымогателям;
  • прогнозируется, что ущерб от киберпреступности продолжит расти на 15% в год.

Основной набор технических мер защиты остается неизменным за последние 10 лет, хотя реализовать его довольно сложно и затратно. Зачастую компании тратят на это годы. Этот набор включает в себя:

  • защиту узлов (рабочих станций и серверов) от подключения нелегитимных USB-устройств и запуска вредоносного программного обеспечения (ВПО);
  • сегментирование промышленной сети и ее отделение от корпоративной;
  • пассивный мониторинг и анализ промышленной сети в защищенном периметре АСУ ТП;
  • активное сканирование сети и узлов при вводе системы в эксплуатацию и во время профилактических работ;
  • мониторинг действий пользователей в сети и на узлах;
  • настройка штатного программного обеспечения для авторизации и журналирования действий пользователей;
  • резервное копирование, планирование действий в нештатных ситуациях и их отработка;
  • получение, анализ событий и формирование инцидентов.

Полный необходимый набор мер защиты указан в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Распределение базовых технических решений представлено на примере решений InfoWatch ARMA (см. рис. 1).

ris1-Jul-25-2024-03-56-58-0418-PM
Рис. 1. Карта мер соответствия InfoWatch ARMA группам мер приказа № 239 ФСТЭК России

Основными направлениями деятельности служб информационной безопасности по всему миру, согласно аналитическому отчету "Тенденции развития киберинцидентов АСУ ТП за 2023 год" [2] экспертно-аналитического центра InfoWatch, являются (см. рис. 2):

  1. Актуализация активов.
  2. Оценка рисков.
  3. Управление уязвимостями.
  4. Обнаружение и предотвращение вторжений.
  5. Безопасность конечных точек.
  6. Сегментация сети.
  7. Безопасность удаленного доступа.

ris2-Jul-25-2024-04-00-52-1895-PM
Рис. 2. Основные направления деятельности служб информационной безопасности по всему миру

С учетом действующего Федерального закона № 187-ФЗ "О безопасности объектов критической информационной инфраструктуры" и смежных с ним нормативно-правовых документов в России одним их ключевых направлений работ служб информационной безопасности стало выполнение государственных требований, включая организационные и технические меры.

Наблюдается активная интеграция служб информационной безопасности, информационных технологий и автоматизированных систем управления в реализации технических мер защиты и процессов информационной безопасности. Например, большинство систем проектируются с учетом средств и мер защиты информации, что позволяет оптимизировать затраты и сроки реализации проектов:

  • уменьшаются расходы на сбор данных, монтажные и пуско-наладочные работы;
  • исключается дублирование оборудования, выполняющего одинаковые функции;
  • оптимизируются вычислительные ресурсы и инженерная инфраструктура с учетом требований информационной безопасности.

Из опыта InfoWatch ARMA можно выделить следующие направления применения промышленного межсетевого экрана для решения задач информационной и операционно-технической безопасности:

  • пограничное средство связи (см. рис. 3, п. 4);
  • дополнительный мониторинг состояния оборудования и сети (см. рис. 3, п. 2);
  • защита рабочих станций и сети от угроз и уязвимостей для минимизации простоев, включая техническое обслуживание (см. рис. 3, п. 3);
  • удаленная наладка, эксплуатация и техническая поддержка продукта (см. рис. 3, п. 1);
  • автоматизация реагирования на инциденты, включая восстановление работоспособности системы (см. рис. 3, п. 5).

ris3-Jul-25-2024-03-58-15-3965-PMРис. 3. Направления применения промышленного межсетевого экрана InfoWatch ARMA

Несмотря на явную необходимость принятия мер и выполнения действий для обеспечения информационной безопасности, а также на наличие обширного набора нормативно-правовых документов, стандартов и лучших практик в области построения систем информационной безопасности, создание и развитие таких систем остается сложной задачей для большинства компаний. Это вызвано не только финансовыми затратами, но и рядом таких проблем, как:

  • недостаток квалифицированных кадров;
  • сложности внедрения процессов информационной безопасности;
  • необходимость изменения существующих процессов и решений в области информационной безопасности при переходе на отечественные аналоги.

В ближайшие годы ожидается развитие новых решений и функционала в существующих продуктах, направленных на оптимизацию человеческого труда в области информационной безопасности, автоматизацию процессов информационной безопасности и интегрированное управление информационной инфраструктурой предприятия, включая информационные технологии, операционно-технические решения и решения в области информационной безопасности.

Для тех, кто развивает информационную безопасность и определяет стратегию ее развития, важно понимать, что сегодня информационная безопасность – это не только инвестиции в средства защиты информации, но и глубокие изменения в продуктах и услугах, организационной структуре, стратегии развития и корпоративной культуре. Предстоит много работы, но усилия должны принести положительные результаты во всех сферах деятельности компаний.


  1. https://www.infowatch.ru/analytics/daydzhesty-i-obzory/promyshlennaya-kiberbezopasnost-itogi-goda 
  2. https://www.infowatch.ru/analytics/analitika/tendentsii-razvitiya-kiberintsidentov-asu-tp 
Темы:InfowatchАСУ ТПЖурнал "Информационная безопасность" №2, 2024Вебмониторэкс

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...