Контакты
Подписка 2025

Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети

Александр Пуха, 20/02/25

Устойчивое функционирование и развитие промышленных предприятий в эпоху четвертой промышленной революции напрямую зависит от надежного и безопасного применения цифровых технологий, в том числе систем промышленной автоматизации и систем управления производственными процессами. Количество рисков кибербезопасности для них постоянно растет.

Авторы: 
Александр Пуха, директор департамента информационной безопасности АМТ-ГРУП
Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

ris2-Feb-20-2025-03-57-12-1862-PM

Рост интереса злоумышленников, включая хактивистов, увеличение числа APT-угроз в промышленном сегменте, уход зарубежных производителей с отечественного рынка, ужесточение регуляторных требований – все эти факторы ставят новые задачи перед владельцами и операторами промышленных инфраструктур.

Системы промышленной автоматизации являются одной из ключевых целей компьютерных атак, потому что работа АСУ ТП и связанного технологического оборудования напрямую влияет на процессы жизнедеятельности предприятия. Нарушение функционирования АСУ ТП может приводить к повреждению оборудования, прерыванию технологических процессов и производства, причинению ущерба жизни и здоровью людей, экологии и др. По открытой статистике, до половины организаций, ставших жертвами кибератак, сообщают о связанных с ними отказах систем и нарушениях операционной деятельности.

АСУ ТП являются одними из наиболее критичных систем, требующими внимания. Традиционные решения не всегда способны защитить промышленные среды от новых киберугроз. Постоянно меняющийся ландшафт рисков и необходимость соответствовать требованиям регуляторов побуждают организации к внедрению специализированных средств киберзащиты промышленных инфраструктур.

Обеспечение безопасности АСУ ТП является комплексной задачей и касается целого набора ключевых направлений, среди которых можно выделить следующие шесть.

  1. Кибербезопасность. Защита от киберугроз – ключевой аспект информационной безопасности АСУ ТП (защита от вирусов, хакерских атак, фишинга, DDoS-атак и др.). Успех в решении этой задачи обеспечивается за счет использования современных и соответствующих угрозам решений по защите.
  2. Защита данных. Шифрование, создание резервных копий, контроль доступа к информации, сетевая изоляция источников – важные составляющие защиты данных от утечек, несанкционированного доступа и повреждений.
  3. Обучение персонала и минимизация риска удаленной атаки с использованием социотехнических методов. Человеческий фактор играет большую роль в обеспечении безопасности АСУ ТП. Проведение обучения персонала по правилам безопасной работы, допустимого использования ресурсов, обращения с информацией, процедурам реагирования на инциденты и иным аспектам безопасности помогает снизить риск реализации связанных киберугроз.
  4. Регулярный аудит. Регулярное проведение аудитов информационной безопасности помогает своевременно выявлять уязвимости в системах и сетях, предотвращать возможные угрозы и повышать уровень безопасности АСУ ТП.
  5. Физическая безопасность. Размещение оборудования в защищенных помещениях, контроль доступа к ним, использование видеонаблюдения – важные меры для обеспечения физической безопасности оборудования, коммуникационных линий и других физических компонентов систем и сетей.
  6. Защита от физических воздействий. Защита от сбоев электропитания, воздействий окружающей среды и иных внешних факторов, которые могут повлиять на работоспособность АСУ ТП.

Первые четыре из указанных направлений так или иначе связаны с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.

Инфодиоды

Однонаправленный шлюз, безусловно, только один из возможных методов защиты сетевого периметра АСУ ТП и сегментации сети, но в большинстве случаев наиболее эффективный. Основная функция однонаправленных шлюзов заключается в обеспечении односторонней передачи данных между различными сегментами сети. Устройства позволяют передавать данные только в одном направлении, исключая возможность обратной передачи, что делает их эффективным средством предотвращения кибератак и утечек данных.

Можно отметить несколько основных актуальных аспектов защиты АСУ ТП с использованием однонаправленных шлюзов.

  1. Защита от внешних киберугроз – основное применение диодов данных. Однонаправленные шлюзы позволяют ограничить потенциальные точки входа в инфраструктуру АСУ ТП и технологической сети передачи данных для злоумышленников, блокируя воздействие на сегмент извне (из неконтролируемых сетевых сегментов и Интернета) и защищая критические системы управления. Использование однонаправленных шлюзов повышает эффективность и надежность защиты АСУ ТП, обеспечивая бесперебойную работу системы даже в условиях целенаправленных и спланированных удаленных кибератак.
  2. Обеспечение целостности информации в условиях преднамеренных и непреднамеренных внешних воздействий. Однонаправленные шлюзы помогают обеспечить целостность обрабатываемой в АСУ ТП информации, исключая возможность ее изменения в результате реализации внешних угроз, а также непреднамеренных (случайных) воздействий.
  3. Предотвращение утечек информации. Однонаправленные шлюзы эффективно предотвращают утечку конфиденциальных данных из сегментов технологических сетей, поскольку информация может передаваться только в одном направлении, без возможности выполнения запросов к данным или инициации несанкционированных входящих соединений. Кроме того, использование диодов данных в целом регламентирует обмен только по определенным протоколам. Однонаправленные шлюзы исключают организацию соединений по протоколам, которые не могут быть проксированы, даже из внутренних (защищаемых) "диодами" сегментов сети.
  4. Соответствие политикам безопасности и требованиям регуляторов. Во многих отраслях, где отдельные системы и информация подлежат защите в соответствии с нормативными требованиями, использование однонаправленных шлюзов становится ключевым элементом обеспечения соответствия. Примерами являются опасные производственные объекты и значимые объекты критической информационной инфраструктуры.
  5. Упрощение архитектуры обмена данными, повышение прозрачности. Однонаправленные шлюзы позволяют упростить архитектуру сети, обеспечивая прозрачную и безопасную передачу данных между различными сегментами АСУ ТП и технологической сети в строго упорядоченном формате и по строго определенному регламенту. Несмотря на то, что внедрение диодов данных представляет собой применение дополнительных технических и организационных решений, за счет минимизации точек сопряжения и повышения уровня контроля потоков информации упрощается и повышается прозрачность сегментации сетевой инфраструктуры и точек сопряжения сегментов с разными уровнями доверия.
  6. Локализация вектора атаки через методы социальной инженерии. Хищение паролей, переход по скомпрометированным ссылкам и иные методы позволяют злоумышленникам получить данные, необходимые для доступа к защищаемым сегментам. Применение однонаправленных шлюзов позволяет исключить удаленную эксплуатацию скомпрометированных полномочий доступа и локализует методы удаленной компрометации персонала и систем путем направления разного рода ссылок, приложений.
  7. Повышение прозрачности сегмента АСУ ТП для контроля и мониторинга средствами ИБ. Использование однонаправленных шлюзов предоставляет возможность непрерывно контролировать и анализировать сетевой трафик, циркулирующий в сегменте АСУ ТП, осуществлять сбор и анализ журналов событий в условиях физической изоляции такого сегмента. В том числе контролю подвергается активность пользователей и другие ключевые параметры, что позволяет на ранних стадиях обнаружить локальные киберугрозы или аномалии в работе АСУ ТП. Как следствие, появляется возможность выстроить процессы и процедуры реагирования на инциденты безопасности, минимизируя потенциальные последствия. Обеспечение комплексного контроля за сегментами АСУ ТП помогает повысить уровень безопасности систем, предотвращая угрозы и атаки и обеспечивая бесперебойную работу промышленных объектов в целом.
  8. Безопасное построение изолированных цифровых моделей, реплик и двойников. На современных предприятиях цифровые двойники могут использоваться для мониторинга, анализа и оптимизации работы реального объекта, а также для прогнозирования его поведения и реакции на различные ситуации. Данные для такого двойника, как правило, находятся в технологических сегментах, поэтому требуется их безопасная и своевременная доставка за пределы сегментов для обработки и анализа. Взаимодействие цифровых двойников и однонаправленных шлюзов может сделать систему защиты АСУ ТП более надежной и эффективной. Цифровые двойники могут предоставлять ценные данные о состоянии системы и ее функционировании, в то время как однонаправленные шлюзы гарантируют, что информация передается в безопасном режиме, а данные и сами системы автоматизации не подвергаются риску киберугроз.

Можно констатировать, что защита АСУ ТП с использованием однонаправленных шлюзов является важным аспектом и неотъемлемым элементом обеспечения безопасности и надежности промышленных объектов. Применение таких решений позволяет предотвратить кибератаки, обеспечить конфиденциальность данных, гарантировать целостность информации и систем, а также обеспечить соответствие высоким стандартам безопасности, что в современных условиях является необходимым условием для эффективной и безопасной работы всего предприятия вне зависимости от отрасли экономики.

Темы:АМТ-ГРУПКИИInfoDiodeСистемы хранения данных (СХД)АСУ ТПЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...