Контакты
Подписка 2025

Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года

Алексей Петухов, 25/07/24

В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Автор: Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA

В 2014 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выпустила приказ от 14 марта 2014 г. № 31 "Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".

С момента выпуска приказа, на протяжении 10 лет, в пятерку основных угроз входят:

  • атаки через офисные корпоративные сети;
  • несанкционированный удаленный доступ;
  • атаки на промышленные системы через уязвимости, используя каналы поставок;
  • саботаж и ошибки персонала;
  • заражение вредоносным программным обеспечением через USB-устройства.

Согласно опубликованным данным InfoWatch в отчете "Промышленная кибербезопасность: итоги 2023 года" [1], международная сфера ИБ АСУ ТП характеризуется следующими особенностями:

  • атаки становятся все более целевыми;
  • 37% атак с использованием программ-вымогателей на промышленные организации затрагивают как информационные, так и операционно-технические аспекты;
  • большинство инцидентов приводят к нарушению операций на предприятиях и в 12% случаев кибератаки приводят к полной остановке производства более чем на неделю;
  • две трети (69%) организаций выплачивают выкуп вымогателям;
  • прогнозируется, что ущерб от киберпреступности продолжит расти на 15% в год.

Основной набор технических мер защиты остается неизменным за последние 10 лет, хотя реализовать его довольно сложно и затратно. Зачастую компании тратят на это годы. Этот набор включает в себя:

  • защиту узлов (рабочих станций и серверов) от подключения нелегитимных USB-устройств и запуска вредоносного программного обеспечения (ВПО);
  • сегментирование промышленной сети и ее отделение от корпоративной;
  • пассивный мониторинг и анализ промышленной сети в защищенном периметре АСУ ТП;
  • активное сканирование сети и узлов при вводе системы в эксплуатацию и во время профилактических работ;
  • мониторинг действий пользователей в сети и на узлах;
  • настройка штатного программного обеспечения для авторизации и журналирования действий пользователей;
  • резервное копирование, планирование действий в нештатных ситуациях и их отработка;
  • получение, анализ событий и формирование инцидентов.

Полный необходимый набор мер защиты указан в приложении к приказу ФСТЭК России № 239 от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Распределение базовых технических решений представлено на примере решений InfoWatch ARMA (см. рис. 1).

ris1-Jul-25-2024-03-56-58-0418-PM
Рис. 1. Карта мер соответствия InfoWatch ARMA группам мер приказа № 239 ФСТЭК России

Основными направлениями деятельности служб информационной безопасности по всему миру, согласно аналитическому отчету "Тенденции развития киберинцидентов АСУ ТП за 2023 год" [2] экспертно-аналитического центра InfoWatch, являются (см. рис. 2):

  1. Актуализация активов.
  2. Оценка рисков.
  3. Управление уязвимостями.
  4. Обнаружение и предотвращение вторжений.
  5. Безопасность конечных точек.
  6. Сегментация сети.
  7. Безопасность удаленного доступа.

ris2-Jul-25-2024-04-00-52-1895-PM
Рис. 2. Основные направления деятельности служб информационной безопасности по всему миру

С учетом действующего Федерального закона № 187-ФЗ "О безопасности объектов критической информационной инфраструктуры" и смежных с ним нормативно-правовых документов в России одним их ключевых направлений работ служб информационной безопасности стало выполнение государственных требований, включая организационные и технические меры.

Наблюдается активная интеграция служб информационной безопасности, информационных технологий и автоматизированных систем управления в реализации технических мер защиты и процессов информационной безопасности. Например, большинство систем проектируются с учетом средств и мер защиты информации, что позволяет оптимизировать затраты и сроки реализации проектов:

  • уменьшаются расходы на сбор данных, монтажные и пуско-наладочные работы;
  • исключается дублирование оборудования, выполняющего одинаковые функции;
  • оптимизируются вычислительные ресурсы и инженерная инфраструктура с учетом требований информационной безопасности.

Из опыта InfoWatch ARMA можно выделить следующие направления применения промышленного межсетевого экрана для решения задач информационной и операционно-технической безопасности:

  • пограничное средство связи (см. рис. 3, п. 4);
  • дополнительный мониторинг состояния оборудования и сети (см. рис. 3, п. 2);
  • защита рабочих станций и сети от угроз и уязвимостей для минимизации простоев, включая техническое обслуживание (см. рис. 3, п. 3);
  • удаленная наладка, эксплуатация и техническая поддержка продукта (см. рис. 3, п. 1);
  • автоматизация реагирования на инциденты, включая восстановление работоспособности системы (см. рис. 3, п. 5).

ris3-Jul-25-2024-03-58-15-3965-PMРис. 3. Направления применения промышленного межсетевого экрана InfoWatch ARMA

Несмотря на явную необходимость принятия мер и выполнения действий для обеспечения информационной безопасности, а также на наличие обширного набора нормативно-правовых документов, стандартов и лучших практик в области построения систем информационной безопасности, создание и развитие таких систем остается сложной задачей для большинства компаний. Это вызвано не только финансовыми затратами, но и рядом таких проблем, как:

  • недостаток квалифицированных кадров;
  • сложности внедрения процессов информационной безопасности;
  • необходимость изменения существующих процессов и решений в области информационной безопасности при переходе на отечественные аналоги.

В ближайшие годы ожидается развитие новых решений и функционала в существующих продуктах, направленных на оптимизацию человеческого труда в области информационной безопасности, автоматизацию процессов информационной безопасности и интегрированное управление информационной инфраструктурой предприятия, включая информационные технологии, операционно-технические решения и решения в области информационной безопасности.

Для тех, кто развивает информационную безопасность и определяет стратегию ее развития, важно понимать, что сегодня информационная безопасность – это не только инвестиции в средства защиты информации, но и глубокие изменения в продуктах и услугах, организационной структуре, стратегии развития и корпоративной культуре. Предстоит много работы, но усилия должны принести положительные результаты во всех сферах деятельности компаний.


  1. https://www.infowatch.ru/analytics/daydzhesty-i-obzory/promyshlennaya-kiberbezopasnost-itogi-goda 
  2. https://www.infowatch.ru/analytics/analitika/tendentsii-razvitiya-kiberintsidentov-asu-tp 
Темы:InfowatchАСУ ТПЖурнал "Информационная безопасность" №2, 2024Вебмониторэкс

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Как минимизировать киберриски: управление инцидентами
Обсудим 31 июля →

More...
ТБ Форум 2025
3 июля | Защищенный удаленный доступ к ИТ-инфраструктуре
Жми, чтобы участвовать

More...